GitHub kompromittiert: Angreifer erhielt Zugriff auf 3.800 interne GitHub-Repositories

 (twitter.com/i)
2 Punkte von GN⁺ 2 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Bei internen GitHub-Repositories kam es zu einem unbefugten Zugriffsvorfall; bestätigt wurde, dass Mitarbeitergeräte über eine kompromittierte VS Code-Erweiterung kompromittiert wurden
  • Die Version der bösartigen Erweiterung wurde entfernt und der betroffene Endpoint isoliert; außerdem wurden umgehend Incident-Response-Verfahren eingeleitet
  • Nach aktuellem Stand steht diese Aktivität nur mit den rund 3.800 internen GitHub-Repositories, deren Exfiltration der Angreifer behauptet, in Zusammenhang (was auch mit den Untersuchungsergebnissen übereinstimmt)
  • Zur Risikominimierung laufen schnelle Gegenmaßnahmen
    • Kritische Secrets wurden seit gestern Nacht im Rahmen einer Rotation ausgetauscht
    • Die am stärksten betroffenen Zugangsdaten wurden priorisiert behandelt
  • Weitere Untersuchung und Planung
    • Fortlaufende Nacharbeiten: Log-Analyse, Secret-Rotation, Überwachung weiterer Folgeaktivitäten
  • Abhängig von den Untersuchungsergebnissen werden zusätzliche Maßnahmen umgesetzt; nach Abschluss der Untersuchung soll ein vollständiger Bericht veröffentlicht werden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2 시간 전
Hacker-News-Kommentare
  • Ich frage mich, warum ein einzelner Entwickler Zugriff auf mehr als 3.800 interne Repositories haben konnte, selbst wenn es nur Lesezugriff war
    • Nicht dass ich das gutheißen würde, aber es ist ziemlich üblich, dass Entwickler schreibgeschützten Zugriff auf den gesamten Code haben. Wegen dieses Vorfalls und anderer jüngerer Meldungen könnten sich die Maßstäbe allmählich zu ändern beginnen.
      Tatsächlich ist es nicht so einfach, festzulegen, auf welche Repositories Lesezugriff erlaubt sein sollte. Um die Systemarchitektur und das Verhalten in den einzelnen Schritten zu verstehen, schaue ich oft in viele Repositories hinein, zu denen ich nicht direkt beitrage. In unserer Firma gibt es auch einen internen Claude-Skill, der Repositories zu einem bestimmten Problem findet und dabei die persönlichen GitHub-Zugriffsrechte per CLI nutzt. Man könnte das sicherer machen, aber es wird Zeit brauchen, die Standardannahmen zu ändern, die sich über Jahre aufgebaut haben
    • Ich denke, es ist ziemlich üblich, dass Entwickler schreibgeschützten Zugriff auf den gesamten Quellcode haben
      Was mich wirklich wundert, ist, warum es auf GitHub 3.800 interne Repositories gibt
  • Treten wir jetzt in das Zeitalter von 99,9 % Uptime ein?
    Bleiben Unternehmen bei so einer Verfügbarkeit weiterhin in der Cloud?
  • GitHub wurde kompromittiert und 3.800 interne Repositories wurden offengelegt
  • Deshalb ist es wirklich wichtig, Zwei-Faktor-Authentifizierung zu aktivieren. Es ist ratsam, das Passwort sofort zu ändern
  • GitHub ist fast der letzte Ort, an dem sich jemand wirklich groß darum kümmern würde. Wenn jemand deine Debitkarte stiehlt und ohne Erlaubnis Geld abhebt, kannst du zur Bank gehen und den Fall schildern, aber was GitHub hat, ist Code.
    Wenn in einem Unternehmen Informationen gestohlen werden, läuft es in der Praxis darauf hinaus, mit dieser Firma nicht wieder zusammenzuarbeiten, zu kündigen oder zur Personalabteilung zu gehen.
    Außerdem läuft GitHub auf meinem Computer. Die Leute nehmen das HTTPS-Symbol viel zu ernst, aber an sich bedeutet es nicht viel. Es gibt mehr Browser als echte Websites, und fast täglich kommen Browser-Updates. Mit jedem dieser Updates wird das HTTPS-Symbol zusammen mit vordefinierten Domains mitgeliefert.