GitHub ยืนยันเมื่อวันอังคารว่า ผู้โจมตีได้รับการเข้าถึงแบบไม่ได้รับอนุญาตต่อที่เก็บข้อมูลภายในของตนหลังจากยึดครองอุปกรณ์พนักงานผ่านส่วนขยาย Visual Studio Code ที่ถูกปลอมปน แพลตฟอร์มที่เป็นของ Microsoft ตรวจจับและควบคุมการถูกโจมตี ลบส่วนขยายที่เป็นอันตรายออก แยกจุดปลายที่ได้รับผลกระทบ และเริ่มการตอบสนองต่อเหตุการณ์ทันที
บริษัทระบุ ว่าการประเมินปัจจุบันของพวกเขามีความเชื่อว่าการละเมิดดังกล่าวเกี่ยวข้องกับการขโมยข้อมูลจาก repository ภายในของ GitHub เท่านั้น ไม่เชื่อว่า repository ของลูกค้า องค์กรระดับองค์กร และข้อมูลผู้ใช้ที่จัดเก็บไว้นอกระบบภายในของ GitHub จะได้รับผลกระทบ
ขนาดของการละเมิด
GitHub ยืนยันว่าข้ออ้างของผู้โจมตีเกี่ยวกับแหล่งข้อมูลภายในประมาณ 3,800 รีโพสิทอรีนั้นสอดคล้องกับการสอบสวนของตนเอง กลุ่มภัยคุกคาม TeamPCP ได้รับผิดชอบต่อการละเมิดดังกล่าว และรายงานว่ากำลังพยายามขายชุดข้อมูลที่ถูกขโมยบนฟอรัมอาชญากรรมไซเบอร์ใต้ดินในราคาเกิน 50,000 ดอลลาร์สหรัฐ กลุ่มนี้อ้างว่าข้อมูลดังกล่าวรวมถึงรหัสแหล่งที่มาของแพลตฟอร์มที่เป็นกรรมสิทธิ์และไฟล์องค์กรภายในจากประมาณ 4,000 รีโพสิทอรีส่วนตัว
GitHub ระบุว่าได้ดำเนินการหมุนเวียนข้อมูลรับรองที่สำคัญอย่างรวดเร็วหลังจากตรวจพบการละเมิด โดยให้ความสำคัญกับความลับที่มีผลกระทบสูงสุดก่อน บริษัทยังคงวิเคราะห์บันทึก ตรวจสอบการหมุนเวียนความลับ และติดตามกิจกรรมเพิ่มเติม
เหตุใดการเข้าถึงที่เก็บข้อมูลภายในจึงร้ายแรง
บริษัทระบุว่าไม่มีหลักฐานใดๆ ที่แสดงถึงผลกระทบต่อข้อมูลลูกค้าที่จัดเก็บนอกคลังข้อมูลภายใน นักวิจัยด้านความปลอดภัยชี้ให้เห็นว่าการใช้ถ้อยคำเฉพาะเจาะจงนั้นสำคัญ การไม่มีหลักฐานของผลกระทบไม่ได้หมายความว่าข้อมูลลูกค้าปลอดภัย แต่หมายความว่าการสอบสวนยังคงดำเนินอยู่และขอบเขตของผลกระทบเต็มรูปแบบยังไม่ได้รับการกำหนด
ที่เก็บภายในมักประกอบด้วยการกำหนดค่าโครงสร้างพื้นฐาน สคริปต์การปรับใช้ เอกสาร API ภายใน ข้อมูลรับรองสำหรับการทดสอบ ฟีเจอร์แฟล็ก ฮุกการตรวจสอบ และบริการที่ไม่มีเอกสารประกอบ การเข้าถึงรหัสแหล่งที่มาภายในจึงให้ภาพแผนผังของสถาปัตยกรรมระบบทั้งหมด แม้จะไม่มีการเข้าถึงข้อมูลลูกค้าโดยตรง
ผู้เชี่ยวชาญด้านความปลอดภัยยังชี้ให้เห็นว่า การที่ GitHub ระบุอย่างชัดเจนถึงการติดตามกิจกรรมเพิ่มเติมเป็นเรื่องสำคัญ การโจมตีแบบทันสมัยแทบไม่เคยหยุดเพียงแค่การเข้าถึงเริ่มต้น ขั้นตอนมาตรฐานมักเคลื่อนตัวจากจุดเริ่มต้นผ่านการสำรวจ การเพิ่มสิทธิ์ การรักษาการเข้าถึง และตามด้วยคลื่นที่สองของกิจกรรมเป้าหมายหลังจากผู้ป้องกันเชื่อว่าภัยคุกคามถูกควบคุมแล้ว
สิ่งที่ GitHub กำลังทำ
GitHub ระบุว่า เคล็ดลับที่สำคัญได้รับการเปลี่ยนแปลงในวันเดียวกับที่ตรวจพบการละเมิด โดยจัดการรหัสผ่านที่ละเอียดอ่อนที่สุดก่อน และบริษัทยังคงติดตามโครงสร้างพื้นฐานเพื่อตรวจสอบกิจกรรมเพิ่มเติมใดๆ และจะเผยแพร่รายงานเหตุการณ์ฉบับสมบูรณ์เมื่อการสืบสวนเสร็จสิ้น ลูกค้าจะได้รับการแจ้งผ่านช่องทางตอบสนองเหตุการณ์ที่กำหนดไว้ หากพบผลกระทบใดๆ ต่อข้อมูลของพวกเขา
นักพัฒนาที่ใช้ GitHub ได้รับคำแนะนำให้ทบทวนและเปลี่ยนคีย์ API ใดๆ ที่เก็บไว้ในรีโพสิทอรีเป็นการป้องกัน แม้ว่ารีโพสิทอรีของลูกค้าจะไม่ถูกเชื่อว่าได้รับผลกระทบโดยตรง