GitHub, Salı günü bir çalışan cihazının zehirli bir Visual Studio Code eklentisi aracılığıyla ele geçirilmesi sonucu dahili depolarına yetkisiz erişim sağlandığını doğruladı. Microsoft'a ait olan platform, bu ihlali tespit edip kontrol altına aldı, zararlı eklentiyi kaldırdı, etkilenen uç noktayı izole etti ve olaya hemen müdahale etti.
Şirket, ihlalin yalnızca GitHub içi depolarının dışa aktarılmasını içerdiğini söylüyor. Müşteri depoları, kurumsal kuruluşlar ve GitHub’ın iç sistemlerinin dışında saklanan kullanıcı verilerinin etkilenmediği düşünülmektedir.
İhlalin Ölçeği
GitHub, saldırganın yaklaşık 3.800 dahili depo iddiasının kendi araştırmasıyla yön itibariyle uyumlu olduğunu doğruladı. Tehlike grubu TeamPCP, bu ihlal için sorumluluk aldı ve çalınan veri setini karanlık web suç forumlarında 50.000 doların üzerinde bir fiyata satmaya çalıştığını bildirdi. Grup, verilerin yaklaşık 4.000 özel depodan gelen özgün platform kaynak kodlarını ve dahili organizasyon dosyalarını içerdiğini iddia ediyor.
GitHub, ihlali tespit ettikten sonra kritik kimlik bilgilerini hızlıca döndürdüğünü söyledi ve en yüksek etkiye sahip gizlilikleri öncelikli hale getirdi. Şirket, günlükleri analiz etmeye, gizlilik döndürmeyi doğrulamaya ve takip eden faaliyetleri izlemeye devam ediyor.
İç Depo Erişimi Neden Ciddiyet Taşıyor
Şirket, içeri saklanan müşteri bilgileri dışındaki verilerde herhangi bir etkiye dair kanıt olmadığını söyledi. Güvenlik araştırmacıları, spesifik ifadenin önemli olduğunu belirtti. Etkiye dair kanıt olmaması, müşteri verilerinin güvenli olduğu anlamına gelmez. Bu, araştırmanın devam ettiğini ve tam etki alanının henüz belirlenmediğini ifade eder.
İç depolar genellikle altyapı yapılandırmalarını, dağıtım betiklerini, iç API belgelerini, hazırlık kimlik bilgilerini, özellik bayraklarını, izleme bağlantılarını ve belgelendirilmemiş hizmetleri içerir. İç kaynak koduna erişim, doğrudan müşteri verilerine erişim olmasa bile, tüm sistemin mimarisinin bir şablonunu sağlar.
Güvenlik uzmanları, GitHub'ın takip eden faaliyetleri izlemeye dair açıkça belirtmesini de önemli olarak işaret etti. Modern saldırılar genellikle ilk erişimde durmaz. Standart ilerleme, ilk tutunmadan gözetim, yetki yükseltme, kalıcılık ve savunmacıların tehdidin kontrol altına alındığını düşündüğü sırada gerçekleşen ikinci hedefe yönelik faaliyet dalgasına kadar ilerler.
GitHub'in yaptığı
GitHub, ihlalin tespit edildiği aynı gün kritik gizliliklerin döndürüldüğünü ve en hassas kimlik bilgilerinin öncelikli olarak ele alındığını açıkladı. Şirket, ikincil faaliyetler için altyapıyı izlemeye devam edecek ve soruşturma tamamlandığında daha kapsamlı bir olay raporu yayınlayacaktır. Müşteriler, verilerine herhangi bir etki tespit edilirse, mevcut olay yanıtlama kanalları aracılığıyla bilgilendirilecektir.
GitHub kullanan geliştiricilere, müşteri depolarının doğrudan etkilenmediği düşünülsün veya düşünülmesin, depolarda saklanan herhangi bir API anahtarını incelemeleri ve değiştirmeleri önerilmiştir.