گٹھبب نے منگل کو تصدیق کی کہ حملہ آوروں نے ایک زہریلے ویژوئل اسٹوڈیو کوڈ ایکسٹینشن کے ذریعے ایک ملازم کے ڈیوائس کو متاثر کرکے اپنے اندری ریپوزٹریز تک غیر اختیاری رسائی حاصل کر لی۔ مائیکروسافٹ کے ملکیت والے پلیٹ فارم نے حملے کا پتہ لگا لیا اور اسے روک لیا، زہریلے ایکسٹینشن کو ہٹا دیا، متاثرہ اینڈ پوائنٹ کو الگ کر دیا، اور فوری طور پر واقعہ کا جواب دینا شروع کر دیا۔
کمپنی نے کہا کہ اس کا موجودہ جائزہ یہ ہے کہ بریچ میں صرف GitHub-انٹرنل ریپوزٹریز کا ڈیٹا چھین لیا گیا تھا۔ صارفین کی ریپوزٹریز، اینٹرپرائز تنظیمیں، اور GitHub کے انٹرنل سسٹمز کے باہر محفوظ صارفین کا ڈیٹا متاثر نہیں ہونے کا خیال ہے۔
خرابی کا پیمانہ
گیٹھب نے تصدیق کی ہے کہ حملہ آور کے دعوے جس میں تقریباً 3,800 اندر کے ریپوزٹریز کا ذکر ہے، اس کی اپنی تحقیق کے ساتھ سمتی طور پر مطابقت رکھتے ہیں۔ خطرناک گروپ ٹیم پی سی پی نے اس بریچ کی ذمہ داری قبول کی ہے اور اس کا دعویٰ ہے کہ وہ چوری شدہ ڈیٹا سیٹ کو انڈرگراؤنڈ سائبر کرائم فورمز پر 50,000 ڈالر سے زیادہ میں بیچنے کی کوشش کر رہا ہے۔ گروپ کا الزام ہے کہ ڈیٹا میں تقریباً 4,000 پرائیویٹ ریپوزٹریز سے متعلق پراپرائٹری پلیٹ فارم سورس کوڈ اور اندر کے ادارتی فائلز شامل ہیں۔
گٹہب نے کہا کہ اس نے بریچ کے پتہ چلنے کے بعد فوری طور پر اہم اعتمادیات کو بدل دیا، سب سے زیادہ اثر والے رازوں کو اولویت دی۔ کمپنی لاگز کا تجزیہ جاری رکھ رہی ہے، رازوں کے بدلنے کی تصدیق کر رہی ہے اور مزید سرگرمیوں کی نگرانی کر رہی ہے۔
کیوں انٹرنل ریپوزیٹری تک رسائی سنگین ہے
کمپنی نے کہا کہ ان کے پاس اندری ریپوزٹریز کے باہر محفوظ صارفین کی معلومات پر اثر کے کوئی ثبوت نہیں ہیں۔ سیکورٹی ریسرچرز نے نوٹ کیا کہ مخصوص الفاظ اہم ہیں۔ اثر کے کوئی ثبوت نہ ہونا صارفین کے ڈیٹا کے محفوظ ہونے کی تصدیق نہیں ہے۔ اس کا مطلب ہے کہ تحقیقات جاری ہیں اور مکمل اثر کا رینج ابھی تک تعین نہیں ہوا ہے۔
انٹرنل ریپوزٹریز عام طور پر انفراسٹرکچر کانفیگریشنز، ڈیپلویمنٹ اسکرپٹس، انٹرنل API ڈاکیومنٹیشن، اسٹیجنگ کریڈنٹیلز، فیچر فلیگز، مانیٹرنگ ہُکس، اور غیر دستاویز شدہ سروسز پر مشتمل ہوتی ہیں۔ انٹرنل سورس کوڈ تک رسائی صرف کسٹمر ڈیٹا تک ب без رابطے کے بغیر پورے سسٹم کی آرکیٹیکچر کا ایک نقشہ فراہم کرتی ہے۔
سیکورٹی ماہرین نے گٹھبب کی جانب سے مزید سرگرمیوں کی نگرانی کا صریح ذکر بھی اہم قرار دیا۔ جدید حملے عام طور پر ابتدائی رسائی تک محدود نہیں ہوتے۔ معیاری ترقی ابتدائی گھسیٹ کے بعد جانچ و تحقیق، اختیارات کا ارتقاء، استقرا ر، اور پھر دفاعی اداروں کے خطرہ کنٹرول میں آنے کے بعد ایک دوسری لہر کی ہدف مند سرگرمیوں تک جاتی ہے۔
گٹہب کیا کر رہا ہے
گٹہب نے کہا کہ اہم رازوں کو بریچ کے ایک ہی دن تبدیل کر دیا گیا، جس میں سب سے زیادہ حساس اعتماد نامہ پہلے حل کیے گئے۔ کمپنی مزید دوسری سرگرمیوں کے لیے بنیادی ڈھانچے کی نگرانی جاری رکھ رہی ہے اور تحقیق مکمل ہونے پر ایک مکمل واقعہ رپورٹ جاری کرے گی۔ اگر ان کے ڈیٹا پر کوئی اثر پایا جاتا ہے تو صارفین کو مخصوص واقعہ کے جوابی چینلز کے ذریعے آگاہ کیا جائے گا۔
گٹہب پر کام کرنے والے ڈویلپرز کو احتیاطی تدابیر کے طور پر، یہاں تک کہ اس بات کے باوجود کہ صارفین کے ریپوزٹریز کو ب без سیدھا متاثر نہیں سمجھا جاتا ہے، ریپوزٹریز میں محفوظ کیے گئے کوئی بھی API کیز/API کلیدیں جانچنے اور بدلنے کی تجویز کی گئی ہے۔