„GitHub“ teigia, kad šiuo metu nėra įrodymų, kad klientų saugyklos ar išoriniai įmonės duomenys būtų pažeisti.
Anksčiau šiandien įsilaužėliai gavo prieigą prie „GitHub“ vidinių saugyklų, išnaudodami darbuotojo kompiuterį naudodami sugadintą VS kodo plėtinį.
Po šio incidento pasirodė pranešimų, kad grėsmės veikėjas, naudodamasis slapyvardžiu TeamPCP, tariamai parduoda, jų teigimu, maždaug 4 000 privačių GitHub saugyklų kibernetinių nusikaltėlių forume, už minimalią 50 000 USD prašomą kainą.
Tai, ką sako GitHub, atsitiko
„GitHub“ patvirtino pažeidimą keliais „Twitter“ žinutėmis, paskelbtais jos X paskyroje, kur išsamiai paaiškino, ką iki šiol žinojo. Pagal prieglobos platformą, užpuolikas gavo prieigą prie savo vidinės saugyklos per kenkėjišką VS kodo plėtinį, įkeltą į vieną iš jo darbuotojų įrenginių.
„GitHub“ teigia, kad kai suprato, kad įvyko ataka, jis nedelsdamas pašalino kenkėjišką programinę įrangą iš užkrėsto įrenginio. Kritiškai jis atkreipė dėmesį į tai, kad šiuo metu nėra jokių įrodymų, kad buvo prieita prie klientų duomenų, laikomų už jos vidinių sistemų, ty atskirų vartotojų įmonių, organizacijų ar saugyklų, ribų.
Prieglobos paslauga taip pat patvirtino, kad greitai pradėjo keisti kredencialus, pirmiausia perkeldama didžiausią poveikį turinčias paslaptis. Ji taip pat išnagrinės žurnalus, siekdama išsiaiškinti, ar buvo vykdoma kokia nors papildoma veikla, ir pateiks daugiau informacijos šiuo klausimu, kai tyrimas bus baigtas.
Tuo tarpu prancūzų tyrinėtojas Sébastienas Latombe kriminalinėje pranešimų lentoje pažymėjo grėsmių veikėjo, pasivadinusio „TeamPCP“, esantį už įsilaužimo, sąrašą, kuriame minimos saugyklos, susijusios su „GitHub Actions“, „GitHub Enterprise“, „GitHub Copilot“, „Azure“, „CodeQL“, atsiskaitymo ir autentifikavimo paslaugomis.
Tariamai jie nesiekia išpirkti „GitHub“, bet nori vieno pirkėjo už pavogtus duomenis, o minimali prašoma kaina yra 50 000 USD.
Jums taip pat gali patikti:
Tačiau reikia pažymėti, kad „GitHub“ ar „Microsoft“ negavo oficialaus forumo sąrašo turinio patvirtinimo, o bet kokie teiginiai tokiose kibernetinėse nusikaltėlių svetainėse gali būti vertinami su žiupsneliu druskos, nes bet kokie jų pateikti duomenys tokiais atvejais gali būti pasenę arba išpūsti, kad padidintų jų suvokiamą vertę.
Saugumo susirūpinimas plinta per kriptovaliutą
Reakcija internete į pažeidimą buvo greita, o „Binance“ įkūrėjas Changpeng Zhao (CZ) paskelbė tiesioginį pranešimą kriptovaliutų kūrėjams:
„Jei kode turite API raktų, net privačių atpirkimo sandorių, dabar pats laikas juos patikrinti ir pakeisti.
Atsakymai nupiešė žinomą visos pramonės problemos vaizdą. Topaz DEX įkūrėjas Aaronas Shamesas pavadino „bloga praktika turėti API raktus bet kokiame atpirkimo sandoryje, nesvarbu, privačiame ar ne“, nors jis pripažino, kad tai buvo įspėjimas.
Kiti nurodė, kad statybininkams, valdantiems šimtus raktų visuose projektuose, tai nėra paprastas sprendimas.
„Visą šią raktų saugojimo praktiką reikia atnaujinti“, – rašė skaitmeninis menininkas Tuteth_.
Saugumo komentatorius Dhanushas Nehru nuėjo toliau:
„Niekas nežino, kokius leidimus turi kiekvienas VS kodo plėtinys. Kibernetinio saugumo grėsmės kraštovaizdis yra baisus.
Šio incidento laikas taip pat prisidėjo prie jau egzistuojančių susirūpinimų dėl kriptovaliutų saugumo po kelių didelio masto įsilaužimų šį mėnesį, įskaitant ataką prieš „Echo Protocol“, kai įsilaužėliams pavyko nukalti eBTC už 76,7 mln.
Tas konkretus incidentas įvyko praėjus vos kelioms dienoms po dviejų kitų kelių milijonų dolerių atakų prieš THORChain ir Verus-Ethereum tiltą.
Dėl šio įvykių bangos atsinaujino diskusijos dėl kodo tikrinimo ir programinės įrangos tiekimo grandinės pažeidžiamumo, kur Vitalikas Buterinas tvirtina, kad naudojant AI formalus patikrinimas gali padaryti programinę įrangą saugesnę, matematiškai įrodydamas jos elgesį.
