GitHub mengesahkan pada hari Selasa bahawa penyerang mendapat akses tidak sah kepada repositori dalaman selepas mengompromikan peranti seorang pekerja melalui sambungan Visual Studio Code yang diracuni. Platform yang dimiliki Microsoft mengesan dan mengawal kompromi tersebut, menghapuskan sambungan jahat, mengasingkan titik akhir yang terjejas, dan memulakan tindakan respons insiden segera.
Perusahaan tersebut mengatakan penilaian semasa mereka ialah bahawa pelanggaran tersebut hanya melibatkan ekstraksi repositori dalaman GitHub. Repositori pelanggan, organisasi perniagaan, dan data pengguna yang disimpan di luar sistem dalaman GitHub tidak dipercayai telah terjejas.
Skala Pelanggaran
GitHub mengesahkan bahawa tuntutan penyerang mengenai kira-kira 3,800 repositori dalaman adalah selari dengan penyiasatan sendiri. Kumpulan ancaman TeamPCP telah mengaku bertanggungjawab atas kebocoran tersebut dan dilaporkan cuba menjual set data yang dicuri di forum kejahatan siber bawah tanah dengan harga lebih daripada $50,000. Kumpulan tersebut mendakwa data tersebut termasuk kod sumber platform milik dan fail organisasi dalaman daripada kira-kira 4,000 repositori peribadi.
GitHub mengatakan ia bertindak pantas untuk memutar semula kredensial penting selepas mengesan kebocoran, dengan mengutamakan rahsia yang memberi kesan paling tinggi terlebih dahulu. Syarikat ini terus menganalisis log, mengesahkan pemutaran rahsia, dan memantau aktiviti susulan.
Mengapa Akses Repositori Dalaman Adalah Serius
Syarikat tersebut mengatakan ia tidak mempunyai bukti kesan terhadap maklumat pelanggan yang disimpan di luar repositori dalaman. Penyelidik keselamatan mencatat bahawa rumusan spesifik ini penting. Tiada bukti kesan bukan pengesahan bahawa data pelanggan selamat. Ia bermaksud penyiasatan masih berterusan dan julat keseluruhan kesan belum lagi ditentukan.
Repositori dalaman biasanya mengandungi konfigurasi infrastruktur, skrip penghantaran, dokumentasi API dalaman, kredensial peringkat ujian, bendera ciri, hook pemantauan, dan perkhidmatan yang tidak didokumentasikan. Akses kepada kod sumber dalaman secara efektif memberikan peta reka bentuk keseluruhan arsitektur sistem, walaupun tanpa akses langsung kepada data pelanggan.
Profesional keselamatan juga menandakan penyebutan eksplisit GitHub mengenai pemantauan aktiviti susulan sebagai signifikan. Serangan moden jarang berhenti pada akses awal. Perkembangan standard bergerak dari titik masuk awal melalui pengesanan, peningkatan keistimewaan, ketahanan, dan kemudian gelombang kedua aktiviti berterusan selepas pihak pertahanan percaya ancaman telah dikawal.
Apa yang Dilakukan GitHub
GitHub mengatakan rahsia kritikal telah diputar pada hari yang sama apabila pelanggaran dikesan, dengan kredensial yang paling sensitif ditangani terlebih dahulu. Syarikat ini terus memantau infrastruktur untuk sebarang aktiviti sekunder dan akan menerbitkan laporan insiden yang lebih lengkap apabila penyiasatan selesai. Pelanggan akan notifikasi melalui saluran respons insiden yang telah ditetapkan sekiranya sebarang kesan terhadap data mereka ditemui.
Pembangun yang menggunakan GitHub telah dinasihati untuk mengulas dan mengganti sebarang kekunci antara muka pengaturcaraan aplikasi (API) yang disimpan dalam repositori sebagai langkah berjaga-jaga, walaupun repositori pelanggan tidak dianggap terjejas secara langsung.