在 LastPass 披露用户加密库被盗两周之后,消息应用 Slack 和软件测试和交付公司 CircleCI 先后披露了安全事故。Slack 称员工令牌凭证被盗,而 CircleCI 的事故可能更严重,其储存的客户秘密可能暴露,它建议客户轮换储存在其服务上的所有秘密。CircleCI 同时通知客户其 Project API 令牌失效需要更换。CircleCI 的服务被逾百万开发者使用,登录凭证、访问令牌等秘密暴露可能会对整个互联网的安全造成严重影响。CircleCI 建议客户检查下 12 月 21 日到 1 月 4 日期间的内部日志,看看是否有未经授权的访问。这可能意味着黑客在 CircleCI 的系统中可能潜伏了两周时间,如此长的时间足够收集行业最敏感的数据。
https://arstechnica.com/?p=1908184