GitHub untersucht unbefugten Zugriff auf interne Repositories

 (twitter.com/github)
1 Punkte von GN⁺ 2 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • GitHub untersucht einen unbefugten Zugriff auf interne Repositories; nach aktuellem Kenntnisstand ist der bestätigte Umfang auf den Zugriff auf interne Repositories beschränkt
  • Bislang gibt es keine Hinweise darauf, dass Kundendaten, die außerhalb der internen GitHub-Repositories gespeichert sind, betroffen waren
  • Es wurden keine Auswirkungen auf die enterprises, organizations oder repositories von Kunden festgestellt
  • GitHub überwacht seine Infrastruktur genau, um mögliche Folgeaktivitäten zu erkennen
  • Falls Auswirkungen festgestellt werden, will das Unternehmen Kunden über die bestehenden Kanäle für Incident Response und Benachrichtigungen informieren

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2 시간 전
Hacker-News-Kommentare

  • GitHub erklärte, dass die „derzeitige Einschätzung nur ein Leak interner GitHub-Repositories“ sei und dass die vom Angreifer behaupteten rund 3.800 Repositories weitgehend mit den bisherigen Untersuchungsergebnissen übereinstimmen
    Beängstigend
    https://xcancel.com/github/status/2056949169701720157

  • Ich bin mir nicht sicher, ob man solche Mitteilungen zu Sicherheitsvorfällen über Twitter/X machen sollte
    Im offiziellen Blog oder auf der Statusseite ist nichts zu sehen
    https://github.blog/
    https://www.githubstatus.com/

    • Definitiv nicht die passende Plattform
      Wenn es anderswo eine offizielle Mitteilung gegeben hätte, könnte ich es noch eher verstehen, aber so wirkt es auch, als wolle man aus Scham die Sichtbarkeit verringern und die Mitteilung nur technisch gesehen veröffentlicht haben
      GitHub hat das nur auf X.com gepostet, das gemessen an der Nutzung nur etwas besser dasteht als Pinterest und hinter Reddit, Snapchat, WeChat und Instagram liegt
      Außerdem braucht man ein Konto, um Profil und Beiträge zu sehen, und getrennt davon ist X wegen seiner extremen politischen Ausrichtung eine polarisierende Plattform
      Dazu kommt, dass dazu nichts auf BlueSky, Facebook, TikTok, YouTube, LinkedIn oder Mastodon gepostet und auch keine E-Mail verschickt wurde
    • Für Technikbegeisterte ist es allerdings eine sehr populäre Messaging-Plattform
    • Wenn Kunden Maßnahmen ergreifen müssen, ist es nach einer Massen-E-Mail vermutlich vielleicht sogar die beste Wahl
      Die Statusseite ist für Zuverlässigkeitsprobleme gedacht, die Endnutzer betreffen, und der Blog eher für tiefergehende Analysen

  • GitHub teilte mit, man untersuche einen unbefugten Zugriff auf „interne GitHub-Repositories“, und derzeit gebe es keine Hinweise darauf, dass Kundendaten betroffen seien, die außerhalb dieser internen Repositories gespeichert sind, etwa in Enterprise-, Organisations- oder normalen Repositories der Kunden
    Man überwache die Infrastruktur genau auf mögliche Folgeaktivitäten

    • Das erinnert an Nixons berühmtes „Es wurden Fehler gemacht“
      „Wir untersuchen unbefugten Zugriff“ klingt deutlich angenehmer als „Wir wurden gehackt“

  • Unabhängig vom Sicherheitsproblem gefällt mir der Trend nicht, dass immer mehr Unternehmen solche Mitteilungen nur über X als offizielle Quelle verbreiten
    Ich verstehe den Grund. Es wirkt leichtgewichtig und nicht so, als gehöre es auf status.github.com oder in den Blog
    Vielleicht fehlt irgendwo zwischen Statusseite und Tweet einfach ein offizieller temporärer Mitteilungskanal unter der eigenen Domain

    • Ich gehe davon aus, dass es bei Dingen, die Handlungen der Nutzer erfordern, direkte Kommunikation an die Kunden geben würde

  • Das ist ernst
    Wenn man so etwas zuerst ohne lange und detaillierte Erklärung ankündigt, bedeutet das wahrscheinlich, dass man in ein Loch blickt, dessen Boden noch nicht zu sehen ist, und den Deckel noch nicht wieder schließen konnte
    Ein Fortune-100-Unternehmen will Investoren ganz sicher nicht auf diese Weise erschrecken

    • Die Leute früh zu informieren ist aber ebenfalls richtig, und in zumindest einigen Kundenverträgen dürfte es vorgeschrieben sein
      Man kann es ohnehin nicht nur bestimmten Kunden mitteilen. Es wird so oder so nach außen dringen

  • Um GitHub-Actions-Sicherheit in den Griff zu bekommen, sollte man statische Analyse verwenden, um Probleme zu finden: https://github.com/zizmorcore/zizmor
    Lokal kann man mit Einstellungen wie pnpm config set minimum-release-age 4320 eine Verzögerung von 3 Tagen einbauen: https://pnpm.io/supply-chain-security
    Für andere Paketmanager siehe hier: https://gist.github.com/mcollina/b294a6c39ee700d24073c0e5a4e...
    Beim Installieren von npm-Paketen in CI kann man außerdem Socket Free Firewall hinzufügen: https://docs.socket.dev/docs/socket-firewall-free#github-act...

    • Die einzige Möglichkeit, GitHub Actions wirklich abzusichern, besteht darin, GitHub Actions nicht zu verwenden
    • Es ergibt auch Sinn, automatische Updates für vscode/cursor-Erweiterungen zu deaktivieren
    • Man sollte auch vorsichtig sein, wenn man in GHA mit PR-Titeln und -Beschreibungen arbeitet
      Wenn dort text enthalten ist, kann das ausgeführt werden. Je nach GHA-Konfiguration ist das weniger ein „muss“ als eher ein „kann passieren“

  • Es tut mir leid für die GitHub-Ingenieure und alle Beteiligten, und selbst wenn das bislang Gefundene begrenzt ist, ist die öffentliche Offenheit darüber positiv
    Ich denke, sie werden die Grundursache finden und die Ergebnisse veröffentlichen, damit alle daraus lernen können

  • Link ohne Twitter: https://xcancel.com/github/status/2056884788179726685#m

    • So sollten eigentlich standardmäßig alle X-Links aussehen
      Für nicht eingeloggte Nutzer ist X eine so feindselige Website, dass man praktisch nichts sehen kann
      Und auch für eingeloggte Nutzer ist sie auf andere Weise feindselig

  • https://pbs.twimg.com/media/HItbXhvW4AAMD8W?format=jpg&name=...
    Angeblich werden alle Repositories kopiert und zum Verkauf angeboten
    Der Angreifer soll TeamPCP sein, der Ersteller der Shai-Hulud-Malware

    • Falls das stimmt und man nach dem Verkauf die eigene Kopie vernichten will, warum sollte GitHub sie dann nicht über einen Mittelsmann direkt zurückkaufen?