GitHub, iç depolara yetkisiz erişimi soruşturuyor

 (twitter.com/github)
1 puan yazan GN⁺ 2 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • GitHub, iç depolara yönelik yetkisiz erişimi soruşturuyor ve şu anda doğrulanan kapsam iç depolara erişimle sınırlı
  • Şu ana kadar GitHub iç depoları dışında tutulan müşteri bilgilerinin etkilendiğine dair bir kanıt yok
  • Müşterilerin enterprises, organizations ve repositories’inin etkilendiği doğrulanmadı
  • GitHub, sonraki faaliyetleri tespit etmek için altyapısını yakından izliyor
  • Bir etki tespit edilirse mevcut olay müdahalesi ve bildirim kanalları üzerinden müşterilere bildirim yapılacak

İlgili okumalar

1 yorum

 
GN⁺ 2 시간 전
Hacker News yorumları

  • GitHub, “mevcut değerlendirmenin yalnızca GitHub iç depolarının sızdırıldığı yönünde olduğunu” ve saldırganın iddia ettiği yaklaşık 3.800 depo sayısının da şu ana kadarki incelemeyle genel olarak örtüştüğünü söyledi
    Ürpertici
    https://xcancel.com/github/status/2056949169701720157

  • Böyle bir güvenlik olayı duyurusunun Twitter/X üzerinden yapılmasının doğru olup olmadığından emin değilim
    Resmî blogda ya da durum sayfasında hiçbir şey görünmüyor
    https://github.blog/
    https://www.githubstatus.com/

    • Kesinlikle uygun bir platform değil
      Başka bir yerde resmî bir duyuru olsaydı yine bir nebze anlaşılabilirdi, ama sanki utandıkları için görünürlüğü düşürüp bunu sadece teknik olarak duyurmuşlar gibi duruyor
      GitHub bunu yalnızca X.com'da paylaştı; kullanım açısından Pinterest'ten biraz daha iyi, ama Reddit, Snapchat, WeChat ve Instagram'ın gerisinde
      Üstelik profili ve gönderileri görmek için hesap gerekiyor ve X'in aşırı siyasi eğilimleri nedeniyle kutuplaştırıcı bir platform olması da ayrı mesele
      Bu konuyla ilgili BlueSky, Facebook, TikTok, YouTube, LinkedIn veya Mastodon'da paylaşım yapmadılar, e-posta da göndermediler
    • Yine de teknoloji meraklıları arasında son derece popüler bir mesajlaşma platformu
    • Müşterilerin harekete geçmesi gereken bir durum varsa, toplu e-postadan sonra muhtemelen en iyi seçenek budur
      Durum sayfası son kullanıcıyı etkileyen güvenilirlik sorunları içindir, blog ise daha çok derinlemesine analiz için uygundur

  • GitHub, “GitHub iç depolarına yönelik yetkisiz erişimi araştırdığını” ve şu an itibarıyla kurumsal müşteri, organizasyon ya da depo gibi iç depolar dışında tutulan müşteri verilerinin etkilendiğine dair bir kanıt olmadığını söyledi
    Ayrıca herhangi bir devam faaliyeti olup olmadığını görmek için altyapıyı yakından izlediklerini belirtti

    • İnsanın aklına Nixon'ın meşhur “hatalar yapıldı” tarzı ifadesi geliyor
      “Hacklendik” demektense “yetkisiz erişimi araştırıyoruz” demek kulağa çok daha hoş geliyor

  • Güvenlik meselesinden ayrı olarak, bu tür duyurularda tek resmî kaynak olarak X'e yüklenilmesi yönündeki artan eğilim pek hoşuma gitmiyor
    Nedenini anlıyorum. Bu daha hafif bir konu ve status.github.com ya da bloga koyulacak türden görünmeyebilir
    Belki de durum sayfası ile tweet arasında bir yerde, kendi alan adları altında resmî bir geçici duyuru kanalı eksiktir

    • Kullanıcının işlem yapmasını gerektiren bir durum olsaydı müşterilerle doğrudan iletişime geçeceklerini varsayıyorum

  • Bu ciddi bir mesele
    Eğer önce bunu uzun ve ayrıntılı bir açıklama olmadan duyurdularsa, bu muhtemelen hâlâ dibini göremedikleri ve kapağını da kapatamadıkları bir çukura baktıkları anlamına gelir
    Bir Fortune 100 şirketinin yatırımcıları gereksiz yere korkutmak istemesi, en çok kaçınacağı şeylerden biridir

    • İnsanlara hızlıca haber vermek de doğru olan şeydir ve en azından bazı müşteri sözleşmelerinde muhtemelen zorunludur
      Sadece belirli müşterilere söyleyemezsiniz. Nasıl olsa sızar

  • GitHub Actions güvenliğini düzeltmek için sorunları bulmada statik analiz kullanmak gerekir: https://github.com/zizmorcore/zizmor
    Yerelde pnpm config set minimum-release-age 4320 gibi bir ayarla 3 günlük gecikme uygulanabilir: https://pnpm.io/supply-chain-security
    Diğer paket yöneticileri için şuraya bakın: https://gist.github.com/mcollina/b294a6c39ee700d24073c0e5a4e...
    CI'da npm paketi kurarken Socket Free Firewall da eklenebilir: https://docs.socket.dev/docs/socket-firewall-free#github-act...

    • GitHub Actions'ı güçlendirmenin tek yolu GitHub Actions kullanmamaktır
    • vscode/cursor eklentilerinde otomatik güncellemeyi devre dışı bırakmak da mantıklı olabilir
    • GHA içinde PR başlığı ve açıklamasını işlerken de dikkatli olunmalı
      Orada text varsa çalıştırılabilir. Bu, GHA yapılandırmasına bağlı olarak “kesin olur”dan çok “olabilir” düzeyindedir

  • GitHub mühendisleri ve oradaki herkes için üzücü bir durum; ortaya çıkanların kapsamı sınırlı olsa bile bunu kamuya açık biçimde duyurmaları olumlu
    Kök nedeni bulup sonuçları paylaşacaklarını ve böylece herkesin bundan ders çıkaracağını düşünüyorum

  • Twitter olmayan bağlantı: https://xcancel.com/github/status/2056884788179726685#m

    • Tüm X bağlantıları için bunun fiilî varsayılan yöntem olması gerekir
      X, giriş yapmamış kullanıcılar için neredeyse hiçbir şey görülemeyecek kadar düşmanca bir web sitesi
      Giriş yapmış kullanıcılar için de başka şekillerde düşmanca

  • https://pbs.twimg.com/media/HItbXhvW4AAMD8W?format=jpg&name=...
    Tüm depoların kopyalanıp satışa çıkarıldığı söyleniyor
    Saldırganın, Shai-Hulud kötü amaçlı yazılımını yapan TeamPCP olduğu iddia ediliyor

    • Eğer bu doğruysa ve satıştan sonra kendi kopyalarını imha etmeyi düşünüyorlarsa, GitHub'ın bir aracı üzerinden bunu doğrudan geri satın alamamasının sebebi ne olabilir?