Cryptonews

GitHub Hack Alert: Was Sie heute mit Ihren API-Schlüsseln und Anmeldeinformationen tun müssen

Source
CryptoNewsTrend
Published
GitHub Hack Alert: Was Sie heute mit Ihren API-Schlüsseln und Anmeldeinformationen tun müssen

GitHub bestätigte am Dienstag, dass Angreifer unbefugten Zugriff auf seine internen Repositories erlangten, nachdem sie das Gerät eines Mitarbeiters durch eine manipulierte Visual Studio Code-Erweiterung kompromittiert hatten. Die Microsoft-eigene Plattform erkannte und dämmte die Kompromittierung ein, entfernte die bösartige Erweiterung, isolierte den betroffenen Endpunkt und begann sofort mit der Reaktion auf den Vorfall.

Das Unternehmen sagte, seine aktuelle Einschätzung sei, dass es sich bei dem Verstoß lediglich um die Exfiltration von GitHub-internen Repositories handele. Kundenrepositorys, Unternehmensorganisationen und Benutzerdaten, die außerhalb der internen Systeme von GitHub gespeichert sind, sind vermutlich nicht betroffen.

Das Ausmaß des Verstoßes

GitHub bestätigte, dass die Behauptungen des Angreifers über etwa 3.800 interne Repositories direkt mit seiner eigenen Untersuchung übereinstimmen. Die Bedrohungsgruppe TeamPCP hat die Verantwortung für den Verstoß übernommen und versucht Berichten zufolge, den gestohlenen Datensatz in Untergrundforen zur Cyberkriminalität für mehr als 50.000 US-Dollar zu verkaufen. Die Gruppe behauptet, dass die Daten proprietären Plattform-Quellcode und interne Organisationsdateien aus rund 4.000 privaten Repositories umfassen.

GitHub gab an, nach der Entdeckung des Verstoßes schnell dazu übergegangen zu sein, kritische Anmeldeinformationen zu rotieren und den Geheimnissen mit der größten Auswirkung zuerst Priorität einzuräumen. Das Unternehmen analysiert weiterhin Protokolle, validiert die Geheimrotation und überwacht Folgeaktivitäten.

Warum der interne Repository-Zugriff ernst ist

Das Unternehmen sagte, es habe keine Hinweise auf Auswirkungen auf Kundeninformationen, die außerhalb interner Repositorys gespeichert seien. Sicherheitsforscher stellten fest, dass es auf die konkrete Formulierung ankommt. Keine Hinweise auf Auswirkungen sind keine Bestätigung dafür, dass Kundendaten sicher sind. Dies bedeutet, dass die Untersuchung noch andauert und der volle Explosionsradius noch nicht ermittelt wurde.

Interne Repositorys enthalten typischerweise Infrastrukturkonfigurationen, Bereitstellungsskripts, interne API-Dokumentation, Staging-Anmeldeinformationen, Feature-Flags, Überwachungs-Hooks und undokumentierte Dienste. Der Zugriff auf internen Quellcode liefert effektiv einen Entwurf der Architektur eines gesamten Systems, auch ohne direkten Zugriff auf Kundendaten.

Sicherheitsexperten wiesen auch darauf hin, dass GitHubs ausdrückliche Erwähnung der Überwachung auf Folgeaktivitäten als bedeutsam eingestuft wurde. Moderne Angriffe hören selten beim ersten Zugriff auf. Der Standardverlauf reicht vom anfänglichen Festhalten über Aufklärung, Privilegienausweitung, Beharrlichkeit und dann einer zweiten Welle gezielter Aktivitäten, nachdem die Verteidiger glauben, dass die Bedrohung eingedämmt wurde.

Was GitHub macht

GitHub sagte, dass kritische Geheimnisse noch am selben Tag, an dem der Verstoß entdeckt wurde, rotiert wurden, wobei die sensibelsten Anmeldeinformationen zuerst behandelt wurden. Das Unternehmen überwacht die Infrastruktur weiterhin auf sekundäre Aktivitäten und wird nach Abschluss der Untersuchung einen ausführlicheren Vorfallbericht veröffentlichen. Kunden werden über etablierte Incident-Response-Kanäle benachrichtigt, wenn Auswirkungen auf ihre Daten festgestellt werden.

Entwicklern, die GitHub verwenden, wurde empfohlen, vorsorglich alle in Repositorys gespeicherten API-Schlüssel zu überprüfen und zu rotieren, auch wenn davon ausgegangen wird, dass Kunden-Repositorys nicht direkt betroffen sind.