Rubygems.org AWS-Root-Access-Vorfall – September 2025

 (rubycentral.org)
1 Punkte von GN⁺ 2025-10-12 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Im September 2025 kam es bei Rubygems.org zu einem Vorfall mit unbefugtem Zugriff auf das AWS-Root-Konto
  • Die öffentlich gemachten Untersuchungsergebnisse bestätigten, dass es keine Hinweise auf eine Beschädigung oder Offenlegung von Nutzerdaten oder der Betriebsumgebung gibt
  • Die Hauptursachen waren, dass das Passwort des AWS-Root-Kontos nach dem Entzug der Rechte eines ausgeschiedenen Mitarbeiters nicht sofort geändert wurde, sowie mangelhafte Verwaltung gemeinsam genutzter Zugangsdaten
  • Nach dem Vorfall wurden sämtliche Zugangsdaten und Passwörter rotiert, Sicherheitsprüfungen verschärft sowie externe Audits und Prozesse für Rechteänderungen verbessert
  • Unternehmensethik, Datenschutz und transparente Kommunikation werden wiederholt betont, und die Bemühungen zur Wiederherstellung des Vertrauens der Community werden klar dargelegt

Überblick und Hintergrund

Ruby Central veröffentlichte im September 2025 einen offiziellen Post-Mortem-Bericht zu einem Vorfall mit kompromittiertem AWS-Root-Zugriff bei Rubygems.org. Das Dokument legt transparent dar, wie es zu dem Vorfall kam, was die Untersuchung ergab, was falsch gehandhabt wurde und welche Maßnahmen zur künftigen Härtung der Sicherheit vorgesehen sind.

Der Vorfall begann damit, dass über einen öffentlichen Blog bekannt wurde, dass der ehemalige Administrator André Arko auch nach dem Entzug seiner Rechte weiterhin Zugriff auf die Produktionsumgebung von Rubygems.org und auf Monitoring-Tools hatte. Ruby Central konzentrierte sich daraufhin umgehend auf die Integrität des Dienstes und den Schutz der Nutzerdaten und entschuldigte sich öffentlich.

Zeitlicher Ablauf der Reaktion

Zentrale Ereignisse am 30. September 2025

  • 17:23 UTC: André Arko informiert per E-Mail darüber, dass ihm weiterhin Root-Zugriff möglich ist
  • 17:30 UTC: Über den Blogpost eines Dritten werden Root-Konto-Zugriff und Screenshots öffentlich bekannt
  • 17:51 UTC: Ruby Central stellt ein Incident-Untersuchungsteam zusammen und beginnt mit der Prüfung des gesamten Dienstes und aller Zugangsdaten
  • 18:20 UTC: Es wird bestätigt, dass das bisherige Passwort ungültig geworden ist
  • 18:24 UTC: Passwort des AWS-Root-Kontos wird zurückgesetzt, Konto per MFA wiederhergestellt
  • 18:30 UTC: Durch Einsicht in den „Credentials Report“ wird bestätigt, dass am 19. September eine unbefugte Person das Root-Passwort geändert hatte
  • 20:45 UTC: Alle Unterkonten und Legacy-Zugangsdaten werden stillgelegt, MFA neu ausgegeben und neue Zugangsdaten in einem separaten Tresor gespeichert

Detaillierter Verlauf des Vorfalls

Die gesamte Infrastruktur von Ruby Central läuft auf AWS, und die Zugangsdaten des Root-Kontos waren in einem gemeinsamen Tresor gespeichert, auf den nur drei Personen Zugriff hatten (zwei aktuelle, eine ehemalige).

18. September 2025

  • 18:40 UTC: Arko erhält per E-Mail die Mitteilung über den Entzug des Produktionszugriffs und der Berechtigungen für den On-Call-Dienst
  • Die von Arko verwendeten AWS-Zugangsdaten wurden gelöscht, das Passwort des Root-Kontos wurde jedoch nicht rotiert

19. September 2025 – Beginn des Angriffs

  • 04:34–04:39 UTC: Unbefugter Root-Login von einer IP-Adresse in San Francisco, Passwortänderung, Austritt aus Gruppen/Richtlinien für berechtigte Nutzer und umfassende IAM-Erkundung

28. September 2025

  • 05:49 UTC: Unbefugte Sitzung von einer IP-Adresse in Tokio, Prüfung von Benutzer-Metadaten über die IAM-Introspection-API
  • (zeitlich überschneidend mit der Konferenz Kaigi on Rails, daher wird dieselbe Person vermutet)

30. September 2025

  • 15:25–15:35 UTC: Root-Zugriff von einer IP-Adresse in Los Angeles, Ausführung von Befehlen zur Beschaffung von Benutzer-Zugangsdaten (entspricht den im Blog geteilten Screenshots)
  • 18:24 UTC: Ruby Central stellt die Kontrolle über den Root-Zugang wieder her

Auswirkungen und Schadensumfang

  • Eine eingehende Prüfung ergab keine Hinweise auf Beeinträchtigungen bei Nutzerdaten, Konten, Gems oder der Verfügbarkeit des Dienstes
  • Rubygems.org blieb während des gesamten Vorfalls normal in Betrieb
  • Es gab keinen Zugriff auf oder Abfluss von sensiblen Informationen wie PII oder Finanzdaten
  • Keine Änderungen an der Produktionsdatenbank, an S3 oder an CI/CD
  • Allerdings war die nicht erfolgte Rotation gemeinsam genutzter Zugangsdaten und die fortbestehende Exponierung des Zugriffs ein schwerwiegender Mangel in den Betriebsprozessen

Behebung des Vorfalls

  • Alle Root- und IAM-Zugangsdaten widerrufen und neue MFA eingerichtet
  • Sämtliche Tokens für angebundene externe Dienste (DataDog, GitHub Actions usw.) vollständig rotiert
  • Verstärkte Echtzeitüberwachung kritischer Änderungen mit AWS CloudTrail, GuardDuty und DataDog
  • Überprüfung der IAM-Berechtigungsstruktur und Entzug unnötiger Rechte
  • Beginn eines umfassenden Sicherheitsaudits unter Einbeziehung externer Experten
  • Erstellung eines neuen Security-Runbooks (einschließlich sofortiger Passwortrotation bei Personalwechseln, quartalsweiser Prüfungen und Kommunikationsprozessen im Vorfallfall)

Root-Cause-Analyse

  • Es wurde nicht erkannt, dass gemeinsam genutzte Passwörter extern kopiert worden sein könnten
  • Beim Ausscheiden von Personal wurden AWS-Root-Passwort und MFA nicht rotiert
  • Diese beiden Punkte eröffneten die Möglichkeit, dass Unbefugte auf die Produktionsinfrastruktur von Rubygems zugreifen und um Zugriffsrechte konkurrieren konnten

Maßnahmen zur Verhinderung eines erneuten Vorfalls

  • Verfahren und Checklisten für den Rechteentzug werden auf die Verwaltung gemeinsam genutzter Tresore ausgeweitet
  • Nicht integrierte Zugangsdaten (insbesondere gemeinsam genutzte) werden bei Personalwechseln sofort rotiert
  • Unabhängige Sicherheitsaudits werden extern vergeben
  • Einführung klarer Vereinbarungen für Betreiber und Mitwirkende darüber, wem unter welchen Bedingungen Produktionsrechte eingeräumt werden

Warum der Fall als Sicherheitsvorfall eingestuft wurde

  • Der Vorfall hatte seinen Ursprung in dem Problem, dass kritische Systeme von einer einzelnen Person kontrolliert werden konnten
  • Mr. Arko hatte einen sekundären On-Call-Dienst als bezahlte Beratung für 50.000 US-Dollar pro Jahr erbracht und schlug nach einer Änderung der Budgetstruktur im Austausch für eine unentgeltliche On-Call-Bereitstellung Zugriff auf Produktions-HTTP-Logs (einschließlich PII) sowie Möglichkeiten zur Monetarisierung vor
  • Ruby Central kam zu dem Schluss, dass dieser Vorschlag grundlegende Probleme in Bezug auf Governance, Privatsphäre und Interessenkonflikte beinhaltete und nicht akzeptabel war, und leitete eine Neuordnung der Betreiberstruktur und Governance ein
  • Dass Arkos fortgesetzter Zugriff auf Systeme mit PII bestätigt wurde, war letztlich der ausschlaggebende Grund für die Einstufung als Sicherheitsvorfall
  • Bislang gibt es keine Hinweise darauf, dass Rubygems-Daten nach außen abgeflossen oder extern gespeichert wurden, und es wird versprochen, das Vertrauen der Gemeinschaft wiederherzustellen und die Transparenz zu erhöhen

Fazit

  • Dank an die Community für ihre Unterstützung und konstruktive Kontrolle
  • Ruby Central wird die stabile und vertrauenswürdige Bereitstellung von Rubygems.org weiterhin durch transparenten Betrieb, Verantwortungsbewusstsein und ein hohes Sicherheitsniveau gewährleisten

Shan Cureton
Executive Director

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.