Cryptonews

Предупреждение о взломе GitHub: что вам нужно делать с ключами API и учетными данными сегодня

Source
CryptoNewsTrend
Published
Предупреждение о взломе GitHub: что вам нужно делать с ключами API и учетными данными сегодня

GitHub подтвердил во вторник, что злоумышленники получили несанкционированный доступ к его внутренним репозиториям после компрометации устройства сотрудника с помощью отравленного расширения Visual Studio Code. Платформа, принадлежащая Microsoft, обнаружила и локализовала компрометацию, удалила вредоносное расширение, изолировала затронутую конечную точку и немедленно приступила к реагированию на инцидент.

Компания заявила, что, по ее текущей оценке, нарушение включало кражу только внутренних репозиториев GitHub. Репозитории клиентов, корпоративные организации и пользовательские данные, хранящиеся за пределами внутренних систем GitHub, не пострадали.

Масштаб нарушения

GitHub подтвердил, что утверждения злоумышленника о примерно 3800 внутренних репозиториях направленно согласуются с его собственным расследованием. Группа угроз TeamPCP взяла на себя ответственность за взлом и, как сообщается, пытается продать украденный набор данных на подпольных форумах по киберпреступности за более чем 50 000 долларов. Группа утверждает, что данные включают в себя исходный код собственной платформы и внутренние файлы организации из примерно 4000 частных репозиториев.

GitHub заявил, что после обнаружения взлома быстро принял меры по смене критически важных учетных данных, отдавая приоритет секретам, имеющим наибольшую значимость. Компания продолжает анализировать журналы, проверять ротацию секретов и отслеживать последующие действия.

Почему доступ к внутреннему репозиторию серьезен

Компания заявила, что у нее нет доказательств воздействия на информацию о клиентах, хранящуюся за пределами внутренних репозиториев. Исследователи безопасности отметили, что конкретная формулировка имеет значение. Отсутствие доказательств воздействия не является подтверждением безопасности данных клиентов. Это означает, что расследование продолжается и полный радиус взрыва еще не определен.

Внутренние репозитории обычно содержат конфигурации инфраструктуры, сценарии развертывания, внутреннюю документацию по API, промежуточные учетные данные, флаги функций, средства мониторинга и недокументированные службы. Доступ к внутреннему исходному коду эффективно обеспечивает представление всей архитектуры системы даже без прямого доступа к данным клиента.

Специалисты по безопасности также отметили важное упоминание GitHub о мониторинге последующих действий. Современные атаки редко останавливаются на начальном доступе. Стандартный процесс начинается с первоначальной точки опоры через разведку, повышение привилегий, настойчивость, а затем вторую волну целенаправленных действий, когда защитники считают, что угроза локализована.

Что делает GitHub

GitHub сообщил, что критические секреты были заменены в тот же день, когда была обнаружена утечка, при этом наиболее конфиденциальные учетные данные были обработаны в первую очередь. Компания продолжает следить за инфраструктурой на предмет любой вторичной деятельности и опубликует более полный отчет об инциденте после завершения расследования. Клиенты будут уведомлены через установленные каналы реагирования на инциденты, если будет обнаружено какое-либо воздействие на их данные.

Разработчикам, использующим GitHub, было рекомендовано в качестве меры предосторожности проверять и менять все ключи API, хранящиеся в репозиториях, даже если предполагается, что репозитории клиентов не были затронуты напрямую.