GitHub investiga acesso não autorizado a repositórios internos

 (twitter.com/github)
1 pontos por GN⁺ 2 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • O GitHub está investigando um acesso não autorizado a repositórios internos, e o escopo atualmente confirmado se limita ao acesso a repositórios internos
  • Até o momento, não há evidências de que informações de clientes armazenadas fora dos repositórios internos do GitHub tenham sido afetadas
  • Não foi confirmado impacto em enterprises, organizations ou repositories dos clientes
  • O GitHub está monitorando de perto sua infraestrutura para identificar atividades subsequentes
  • Se algum impacto for descoberto, os clientes serão notificados pelos canais existentes de resposta a incidentes e notificação

Leituras relacionadas

1 comentários

 
GN⁺ 2 시간 전
Comentários do Hacker News

  • O GitHub afirmou que “a avaliação atual é que apenas repositórios internos do GitHub foram vazados”, e que os cerca de 3.800 repositórios alegados pelo atacante também batem, em grande parte, com a investigação até agora
    Dá um frio na espinha
    https://xcancel.com/github/status/2056949169701720157

  • Não sei se faz sentido fazer esse tipo de aviso de incidente de segurança pelo Twitter/X
    Não aparece nada no blog oficial nem na página de status
    https://github.blog/
    https://www.githubstatus.com/

    • Definitivamente não é a plataforma apropriada
      Se houvesse um aviso oficial em outro lugar, até daria para entender, mas também passa a impressão de que reduziram a visibilidade por vergonha e anunciaram só de forma tecnicamente pública
      O GitHub postou isso apenas no X.com, que em uso fica pouco acima do Pinterest e abaixo de Reddit, Snapchat, WeChat e Instagram
      Além disso, você precisa de uma conta para ver o perfil e as postagens, sem entrar na questão de o X ser uma plataforma divisiva por causa de sua inclinação política extrema
      Também não postaram sobre isso em BlueSky, Facebook, TikTok, YouTube, LinkedIn ou Mastodon, nem enviaram e-mail
    • Ainda assim, é uma plataforma de mensagens muito popular entre entusiastas de tecnologia
    • Se for uma situação em que o cliente precisa tomar alguma medida, talvez seja a melhor escolha depois de um disparo massivo de e-mails
      A página de status é para problemas de confiabilidade que afetam o usuário final, e o blog é mais para análises aprofundadas

  • O GitHub disse que está investigando acesso não autorizado a repositórios internos do GitHub e que, por enquanto, não há evidência de impacto em informações de clientes armazenadas fora desses repositórios internos, como dados de enterprise, organizações e repositórios dos clientes
    Disseram também que estão monitorando de perto a infraestrutura em busca de atividade posterior

    • Lembra aquela formulação famosa do Nixon de “foram cometidos erros”
      “Estamos investigando acesso não autorizado” soa muito melhor do que “fomos hackeados”

  • Separando da questão de segurança, não gosto dessa tendência crescente de empresas empurrarem esse tipo de aviso tendo o X como única fonte oficial
    Entendo o motivo. Isso parece leve demais para ir no status.github.com ou no blog
    Talvez esteja faltando algo entre a página de status e um tweet: um canal oficial temporário de avisos no próprio domínio

    • Entendo que, se fosse algo que exigisse ação do usuário, eles enviariam uma comunicação direta aos clientes

  • Isso é grave
    Se anunciaram primeiro assim, sem uma explicação longa e detalhada, há uma boa chance de que ainda estejam olhando para um buraco sem fundo e nem tenham conseguido tampar a tampa ainda
    Para uma empresa da Fortune 100, assustar investidores de propósito é provavelmente a última coisa que querem fazer

    • Também é certo avisar as pessoas rapidamente, e isso provavelmente é exigido em pelo menos alguns contratos com clientes
      Também não dá para avisar só alguns clientes. Isso acabaria vazando de qualquer jeito

  • Para melhorar a segurança do GitHub Actions, é preciso usar análise estática para encontrar problemas: https://github.com/zizmorcore/zizmor
    No ambiente local, dá para configurar um atraso de 3 dias com algo como pnpm config set minimum-release-age 4320: https://pnpm.io/supply-chain-security
    Para outros gerenciadores de pacotes, veja aqui: https://gist.github.com/mcollina/b294a6c39ee700d24073c0e5a4e...
    Ao instalar pacotes npm no CI, também dá para adicionar o Socket Free Firewall: https://docs.socket.dev/docs/socket-firewall-free#github-act...

    • A única forma de realmente reforçar o GitHub Actions é não usar GitHub Actions
    • Também faz sentido desativar atualizações automáticas de extensões do vscode/cursor
    • Também é preciso ter cuidado ao lidar com títulos e descrições de PR no GHA
      Se houver text ali, isso pode acabar sendo executado. Dependendo da configuração do GHA, está mais para “pode acontecer” do que para “com certeza acontece”

  • É uma pena para os engenheiros do GitHub e para todo mundo, e mesmo que o que foi encontrado seja limitado, é positivo ver essa postura de avisar publicamente
    Imagino que vão descobrir a causa raiz e publicar os resultados para que todos possam aprender com isso

  • Link sem Twitter: https://xcancel.com/github/status/2056884788179726685#m

    • Todo link do X deveria basicamente usar esse formato como padrão
      Para usuários não logados, o X é um site tão hostil que praticamente não deixa ver nada
      E para usuários logados também é hostil, só que de outras formas

  • https://pbs.twimg.com/media/HItbXhvW4AAMD8W?format=jpg&name=...
    Dizem que todos os repositórios foram copiados e estão à venda
    O atacante seria a TeamPCP, criadora do malware Shai-Hulud

    • Se isso for verdade e eles pretendem destruir a própria cópia depois da venda, por que o GitHub não poderia simplesmente recomprar tudo diretamente por meio de um intermediário?