גיטהאב: האקרים גנבו מידע מריפוז פרטיים של עשרות ארגונים

גיטהאב הודיעה כי האקרים הצליחו להשיג טוקני גישה דרך שירות ענן ושירות CI, שאפשרו להם גישה לריפוז הפרטיים של עשרות חברות וארגונים – כולל NPM. החשש: המידע ישמש כתשתית לתקיפות נוספות

מקור: Unsplash

לא פעם צצים סיפורים על ריפוז שהכילו בתוכם קוד זדוני ומצאו את עצמם על שרתי גיטהאב, ומשם הגיעו למחשביהם של משתמשים תמימים. מקרה חדש חושף פרצה חדשה שקשורה בבית של הקוד הפתוח שרכשה מיקרוסופט ב-2018 – והאשמות הפעם הן בכלל חברות המציעות שירותי צד שלישי, שלא עשו עבודה טובה בשמירה על הלקוחות שלהן.

החשש: המידע ישמש את ההאקרים לתקיפות נוספות

גיטהאב עדכנה בסוף השבוע על פרצת אבטחה חדשה שצוותי הסקיוריטי שלה זיהו ביום שלישי האחרון. על פי הדיווח, האקרים הצליחו להשיג גישה לריפוז הפרטיים של עשרות ארגונים – בהם גם NPM. הבעיה לא הייתה ביכולת האבטחה של גיטהאב, והיא דווקא תולדה של שימוש בשני שירותי צד ג': Heroku ו-Travis CI.

שני השירותים, שמציעים שירותי ענן (הרוקו) ואינטגרציה רציפה (CI), איפשרו להאקרים לקבל גישה לטוקנים של פרוטוקול האבטחה הפתוח OAuth. ההאקרים שהצליחו לקבל גישה לטוקנים הללו, כך עולה מהפוסט בבלוג של גיטהאב על הפרצה, הצליחו לקבל גישה לריפוז הפרטיים של משתמשים רבים בגיטהאב.

בפוסט שנכתב על ידי מנהל מערך האבטחה של גיטהאב, מייק האנלי, נכתב כי החברה נטרלה את הטוקנים ה"שרופים" ברגע שהתגלתה התקיפה. על פי האנלי, מהניתוח שביצעו אנשי האבטחה של החברה, נראה שהתוקפים ניצלו את הפרצה ואת מפתחות הגישה כדי לגנוב כמה שיותר מידע מהריפוז הפרטיים שאליהם קיבלו גישה כדי לנסות ולהפוך אותו לוקטור תקיפה על תשתיות נוספות.

הוא מוסיף כי הגישה של ההאקרים ל-NPM איפשרה להם הורדה של מידע מריפוז פרטיים בגיטהאב עצמה, ובמקביל ייתכן כי ההאקרים הצליחו להשיג גם גישה לחבילות המאוחסנות על AWS – ועל הדרך ייתכם שקיבלו גם גישה ל-S3, שירות האיחסון של אמזון.

עוד סיפורים כאלו מחכים לכם עכשיו עוד סיפורים כאלו מחכים לכם עכשיו בערוץ העדכונים הרשמי של גיקטיים

גיטהאב עצמה, כפי שעולה מהפוסט של האנלי, לא הייתה חשופה בעקבות הפירצה הזו – ולהאקרים לא הייתה גישה להורדת מידע מהריפוז הפרטיים של Github.com. בנוסף אומר האנלי כי נראה שהתוקפים רק הורידו את המידע מהריפוז שאליהם הייתה להם גישה, ולא ביצעו בהם שינויים. עוד הוא כותב כי מהחקירה שביצעו נראה שפרטיהם של משתמשים – כולל פרטי ההתחברות שלהם לאתר – לא נחשפו במתקפה.

דמי בן ארי, CTO וממייסדי הסטארטאפ Panorays, אמר כי הפגיעה בעקבות הפרצה יכולה להיות קשה מאוד – בייחוד בעולמות הקניין הרוחני של חברות, שכעת מגיע לידיים זדוניות. לצד זה, גם הפעילות של המוצרים שלהן יכולה להיפגע – כפי שחשבו בגיטהאב – מכיוון שההאקרים יכולים לעשות שימוש במידע כדי להפוך אותם לוקטורי תקיפה חדשים. "מאחר שפעמים רבות חברות מחזיקות בריפוז הפרטיים שלהן בגיטהאב גם הרבה דברים שלא צריכים להיות שם כמו פרטי גישה לשירותים אחרים שלהם ועוד – הפגיעה יכולה להיות משמעותית מאוד", הוסיף בן ארי.

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: [email protected]

הגב

3 תגובות על "גיטהאב: האקרים גנבו מידע מריפוז פרטיים של עשרות ארגונים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
A.hd
Guest

מי שם פרטים בריפו בביטבוקט? אין שום היגיון להעלות קוד שהוא לא ציבורי גם לריפו פרטי.
.env וזה…

wolf
Guest

spectralops.io will solve it

המגיב החד פעמי
Guest
המגיב החד פעמי

געוואלד!!

wpDiscuz

תגיות לכתבה: