繼密碼管理服務商LastPass遭黑客入侵後，再有科企遭黑客毒手。提供軟件持續整合與交付服務的美國科企CircleCI自爆，系統自去年12月起，遭黑客入侵，使加密密鑰等CircleCI客戶數據被盜取。

為開源程式託管平台GitHub提供服務的CircleCI於上周五（13日）發表網誌揭露，有黑客透過在其員工的手提電腦中，置入惡意軟件。即使員工的公司內部訪問權限受到雙重身份驗證保護，但由於黑客同時取得可以使用戶保持登錄狀態的會話憑證（Session token），使他在12月16日至1月4日期間，在不需每次都使用重身份驗證的情況下，成功獲得該員工的訪問權限。

CircleCI首席科技總監 Rob Zube指：「目標員工有權生成訪問驗證，因此未經授權的第三方（即黑客），能夠從數據庫和商店的子集（Subset）中，訪問和洩露數據，包括客戶環境變量（Environment variables）、憑證和密鑰。」

據悉，有部分CircleCi客戶已經自動通知該企，其系統曾有未經授權的訪問情況。CircleCI擔心，黑客利用竊取客戶的代碼，用於訪問其他應用程式和服務的機密資料，強烈建議客戶更換存儲在其平台上的「任何和所有機密」密碼。Zuber則指，該企已添加了額外的升級身份驗證步驟和控制，防止同類事件再發生。