Cryptonews

Alerte de piratage GitHub : ce que vous devez faire avec vos clés API et vos informations d'identification aujourd'hui

Source
CryptoNewsTrend
Published
Alerte de piratage GitHub : ce que vous devez faire avec vos clés API et vos informations d'identification aujourd'hui

GitHub a confirmé mardi que des attaquants avaient obtenu un accès non autorisé à ses référentiels internes après avoir compromis l'appareil d'un employé via une extension Visual Studio Code empoisonnée. La plate-forme appartenant à Microsoft a détecté et contenu la compromission, supprimé l'extension malveillante, isolé le point de terminaison concerné et a immédiatement commencé à répondre à l'incident.

La société a déclaré que son évaluation actuelle est que la violation impliquait uniquement l'exfiltration des référentiels internes de GitHub. Les référentiels clients, les organisations d’entreprise et les données utilisateur stockées en dehors des systèmes internes de GitHub ne devraient pas avoir été affectés.

L'ampleur de la violation

GitHub a confirmé que les affirmations de l’attaquant concernant environ 3 800 référentiels internes sont cohérentes avec sa propre enquête. Le groupe de menace TeamPCP a revendiqué la responsabilité de la violation et aurait tenté de vendre l'ensemble de données volées sur des forums clandestins de cybercriminalité pour plus de 50 000 $. Le groupe affirme que les données comprennent le code source exclusif de la plateforme et des fichiers d'organisation internes provenant d'environ 4 000 référentiels privés.

GitHub a déclaré avoir agi rapidement pour alterner les informations d'identification critiques après avoir détecté la violation, en donnant la priorité aux secrets les plus impactants. L'entreprise continue d'analyser les journaux, de valider la rotation secrète et de surveiller les activités de suivi.

Pourquoi l'accès au référentiel interne est sérieux

La société a déclaré qu'elle n'avait aucune preuve d'impact sur les informations client stockées en dehors des référentiels internes. Les chercheurs en sécurité ont noté que la formulation spécifique est importante. Aucune preuve d'impact ne constitue une confirmation que les données des clients sont en sécurité. Cela signifie que l'enquête est en cours et que le rayon d'explosion complet n'a pas encore été déterminé.

Les référentiels internes contiennent généralement des configurations d'infrastructure, des scripts de déploiement, de la documentation interne sur l'API, des informations d'identification de transfert, des indicateurs de fonctionnalités, des hooks de surveillance et des services non documentés. L’accès au code source interne fournit efficacement un plan de l’architecture entière d’un système, même sans accès direct aux données client.

Les professionnels de la sécurité ont également signalé comme significative la mention explicite par GitHub de la surveillance des activités de suivi. Les attaques modernes s’arrêtent rarement lors de l’accès initial. La progression standard va de l'implantation initiale à la reconnaissance, à l'élévation des privilèges, à la persévérance, puis à une deuxième vague d'activités ciblées une fois que les défenseurs estiment que la menace a été contenue.

Ce que fait GitHub

GitHub a déclaré que les secrets critiques avaient été alternés le jour même de la détection de la violation, les informations d'identification les plus sensibles étant traitées en premier. L'entreprise continue de surveiller les infrastructures pour détecter toute activité secondaire et publiera un rapport d'incident plus complet une fois l'enquête terminée. Les clients seront informés via les canaux de réponse aux incidents établis si un impact sur leurs données est découvert.

Il a été conseillé aux développeurs utilisant GitHub d'examiner et de faire pivoter toutes les clés API stockées dans les référentiels par mesure de précaution, même lorsque les référentiels clients ne semblent pas avoir été directement affectés.