General JetBrains News Security TeamCity

Uma atualização sobre o incidente da SolarWinds

Gostaríamos de fornecer uma atualização adicional aos nossos clientes em relação à violação da SolarWinds. Neste ponto, reiteramos a mensagem que publicamos ontem – não tivemos nenhum papel nessa violação, nem estamos cientes de quaisquer vulnerabilidades no TeamCity que possam ter levado a essa violação, além de também não termos conhecimento de qualquer investigação em andamento.

O que é o TeamCity e por que ele está nas notícias?
O TeamCity é a nossa Ferramenta de Integração e Entrega Contínuas. Sua função é automatizar a criação, o teste e, opcionalmente, a implantação de softwares. Atualmente, ele está disponível apenas como um aplicativo independente auto-hospedado, o que significa que o usuário final é responsável por instalar, configurar e manter o sistema, incluindo quaisquer configurações de segurança e acesso.

Com base nas informações públicas disponíveis (que são, até o momento, as únicas informações de que temos conhecimento, pois nem a SolarWinds nem qualquer agência governamental nos contatou a respeito de quaisquer detalhes sobre a violação), parece que o ataque à SolarWinds foi direcionado aos seus processos de criação (o que a mídia está se referindo como um ataque à cadeia de suprimentos). A SolarWinds usa o TeamCity entre outras ferramentas durante esse processo de construção. No entanto, neste ponto, como também confirmado pelas declarações do próprio porta-voz da SolarWinds, não há evidências de que o TeamCity tenha tido qualquer papel nisso.

“A SolarWinds, como muitas empresas, usa um produto da JetBrains chamado TeamCity para auxiliar no desenvolvimento de seus softwares. Estamos avaliando todas as ferramentas internas e externas como parte das nossas investigações, que ainda estão em andamento”, disse um porta-voz da SolarWinds. “A empresa não viu nenhuma evidência vinculando o incidente de segurança a um comprometimento do produto TeamCity”, declarou.

conforme citado pelo The Wall Street Journal.

O fato de o TeamCity ser uma das ferramentas usadas pela SolarWinds durante o processo de criação é o que acreditamos ter levado à cobertura da mídia.

A JetBrains ou o TeamCity foi comprometido?
Até o momento, não temos conhecimento de que o TeamCity e/ou a JetBrains tenham sido comprometidos de qualquer forma que pudesse levar a tal situação. Além disso, não só executamos auditorias regulares programadas dos nossos softwares, como também agora estamos organizando uma auditoria de segurança independente adicional do TeamCity. Se encontrarmos qualquer vulnerabilidade no produto que possa ter levado ao incidente, seremos totalmente transparentes sobre o assunto e informaremos nossos clientes segundo nossas Políticas de Segurança e Privacidade.

Também vale a pena mencionar que não usamos o SolarWinds Orion ou qualquer outro software da empresa.

Isso afeta seus IDEs e outras ferramentas?
Nossos IDEs são ferramentas independentes e não têm qualquer relação com o TeamCity, exceto pelo fato de que usamos nossa própria instalação do TeamCity para criá-los. Não temos evidências que indiquem que qualquer um de nossos servidores ou ferramentas independentes tenha sido adulterado e, de maneira muito semelhante ao caso do TeamCity, executamos auditorias de segurança regulares em nossas ferramentas e sistemas.

Estou seguro usando as ferramentas da JetBrains?
Nenhum dos artigos publicados até agora, incluindo aqueles que fazem referência a investigações do FBI, bem como citações da própria SolarWinds, mostram qualquer evidência de que o TeamCity tenha qualquer vulnerabilidade ou backdoor que teria permitido o acesso não autorizado ao processo de criação.

Como tal, não temos conhecimento ou evidência para acreditar que qualquer uma de nossas ferramentas possa ter sido comprometida e, consequentemente, não acreditamos que você corra qualquer risco ao continuar a usar nossas ferramentas.

Esperamos que a investigação com a SolarWinds seja finalizada o mais rápido possível e esclareça qualquer deturpação das nossas ferramentas e da nossa empresa. Também gostaríamos de reiterar que oferecemos nossa total cooperação com quaisquer agências governamentais e pesquisadores de segurança.

Por mais de 20 anos, um dos nossos pilares tem sido a transparência, a honestidade e a verdade para com nossos clientes, e nada nos entristece mais do que ver alegações infundadas que prejudicam nossa reputação e geram dúvidas em nossos clientes.

Agradecemos muito seu apoio e manteremos você atualizado sobre qualquer progresso.

Obrigado.

Maxim Shafirov
Diretor Executivo

Discover more