อีกวัน การละเมิดฐานข้อมูลที่ใช้โทเค็นการเข้าถึงอีกครั้ง
คราวนี้ผู้ที่ตกเป็นเหยื่อ (และแน่นอนว่าเป็นผู้ร้ายด้วย) คือ Microsoft GitHub ของคุณ
GitHub อ้างว่ามัน พบการละเมิด ในวันรุ่งขึ้นหลังจากเกิดขึ้นอย่างรวดเร็ว แต่ความเสียหายได้เกิดขึ้นแล้ว:
ในวันที่ 6 ธันวาคม 2022 ที่เก็บจากของเรา
atom
,desktop
และองค์กรที่เป็นเจ้าของ GitHub ที่เลิกใช้แล้วอื่นๆ ถูกโคลนโดยโทเค็นการเข้าถึงส่วนบุคคล (PAT) ที่ถูกบุกรุกซึ่งเชื่อมโยงกับบัญชีเครื่อง เมื่อตรวจพบในวันที่ 7 ธันวาคม 2022 ทีมงานของเราได้เพิกถอนข้อมูลประจำตัวที่ถูกบุกรุกทันที และเริ่มตรวจสอบผลกระทบที่อาจเกิดขึ้นกับลูกค้าและระบบภายใน
พูดง่ายๆ ก็คือ มีคนใช้รหัสการเข้าถึงที่สร้างไว้ล่วงหน้าซึ่งได้มาจากผู้รู้ที่ไหนเพื่อดูดเนื้อหาของที่เก็บซอร์สโค้ดต่างๆ ที่เป็นของ GitHub เอง
เราเดาว่า GitHub จะเก็บโค้ดของตัวเองไว้บน GitHub (มันคงเป็นการลงคะแนนเสียงไม่มั่นใจในตัวมันเองถ้าไม่ทำอย่างนั้น!) แต่มันไม่ใช่เครือข่าย GitHub หรือโครงสร้างพื้นฐานสตอเรจพื้นฐานที่ถูกละเมิด เพียงแค่ โครงการบางส่วนของ GitHub ที่เก็บไว้ที่นั่น
หัวหาดและการเคลื่อนไหวด้านข้าง
คิดว่าการละเมิดนี้เป็นเหมือนมิจฉาชีพที่ขโมยรหัสผ่านที่เก็บถาวรอีเมล Outlook ของคุณและดาวน์โหลดข้อความมูลค่าเดือนที่แล้วของคุณ
เมื่อถึงเวลาที่คุณสังเกตเห็น อีเมลของคุณจะหายไปแล้ว แต่ทั้ง Outlook เองและบัญชีของผู้ใช้รายอื่นจะไม่ได้รับผลกระทบโดยตรง
อย่างไรก็ตาม โปรดสังเกตว่า เราใช้คำว่า "โดยตรง" ในประโยคก่อนหน้านี้อย่างระมัดระวัง เนื่องจากการประนีประนอมของบัญชีหนึ่งในระบบอาจนำไปสู่ผลกระทบต่อผู้ใช้รายอื่น หรือแม้กระทั่งต่อระบบโดยรวม
ตัวอย่างเช่น บัญชีอีเมลของบริษัทของคุณแทบจะมีการโต้ตอบถึงและจากเพื่อนร่วมงาน แผนกไอที และบริษัทอื่นๆ ของคุณ
ในอีเมลเหล่านั้น คุณอาจเปิดเผยข้อมูลที่เป็นความลับเกี่ยวกับชื่อบัญชี รายละเอียดระบบ แผนธุรกิจ ข้อมูลรับรองการเข้าสู่ระบบ และอื่นๆ
การใช้ข่าวกรองการโจมตีจากส่วนหนึ่งของระบบเพื่อดิ้นไปยังส่วนอื่น ๆ ของระบบเดียวกันหรือระบบอื่น ๆ เป็นที่รู้จักกันในศัพท์แสงว่า การเคลื่อนไหวด้านข้างที่ซึ่งอาชญากรไซเบอร์สร้างสิ่งที่คุณอาจเรียกว่า "หัวหาดของการประนีประนอม" ก่อน จากนั้นจึงพยายามขยายการเข้าถึงจากที่นั่น
มีอะไรอยู่ในที่เก็บข้อมูลของคุณบ้าง
ในกรณีของฐานข้อมูลซอร์สโค้ดที่ถูกขโมย ไม่ว่าจะถูกเก็บไว้ใน GitHub หรือที่อื่นๆ ก็มีความเสี่ยงเสมอที่พื้นที่เก็บข้อมูลส่วนตัวอาจรวมข้อมูลรับรองการเข้าถึงไปยังระบบอื่นๆ หรือปล่อยให้อาชญากรไซเบอร์ได้รับใบรับรองการลงนามรหัสที่ใช้เมื่อสร้างจริง ซอฟต์แวร์สำหรับเผยแพร่สู่สาธารณะ
อันที่จริง การรั่วไหลของข้อมูลประเภทนี้อาจเป็นปัญหาสำหรับที่เก็บข้อมูลสาธารณะ รวมถึงโครงการโอเพ่นซอร์สซอร์สที่ไม่เป็นความลับ และใครก็ตามควรดาวน์โหลดได้
การรั่วไหลของข้อมูลโอเพ่นซอร์สสามารถเกิดขึ้นได้เมื่อนักพัฒนาซอฟต์แวร์รวมไฟล์ส่วนตัวจากเครือข่ายการพัฒนาของตนเข้ากับแพ็คเกจรหัสสาธารณะโดยไม่ได้ตั้งใจ ซึ่งท้ายที่สุดแล้วพวกเขาจะอัปโหลดให้ทุกคนเข้าถึงได้
ข้อผิดพลาดประเภทนี้อาจนำไปสู่การรั่วไหลของไฟล์กำหนดค่าส่วนตัว เซิร์ฟเวอร์ส่วนตัว คีย์การเข้าถึงส่วนตัว โทเค็นการเข้าถึง และรหัสผ่านและแม้แต่ทั้งหมด ต้นไม้ไดเรกทอรี ที่อยู่ผิดที่ผิดเวลา
ไม่ว่าจะดีขึ้นหรือแย่ลง GitHub ใช้เวลาเกือบสองเดือนในการหาว่าผู้โจมตีของพวกเขาได้อะไรมากน้อยเพียงใดในกรณีนี้ แต่ตอนนี้คำตอบออกมาแล้ว และดูเหมือนว่า:
- พวกมิจฉาชีพได้รับใบรับรองการลงนามรหัสสำหรับผลิตภัณฑ์ GitHub Desktop และ Atom ในทางทฤษฎีแล้ว พวกเขาสามารถเผยแพร่ซอฟต์แวร์หลอกลวงโดยมีตรารับรอง Github อย่างเป็นทางการ โปรดทราบว่าคุณไม่จำเป็นต้องเป็นผู้ใช้ที่มีอยู่แล้วของผลิตภัณฑ์ใดผลิตภัณฑ์หนึ่งเหล่านี้เพื่อให้ถูกหลอก – อาชญากรสามารถมอบซอฟต์แวร์เกือบทุกชนิดที่พวกเขาต้องการให้กับ GitHub
- ใบรับรองการเซ็นชื่อที่ถูกขโมยถูกเข้ารหัส และเห็นได้ชัดว่าอาชญากรไม่ได้รับรหัสผ่าน ซึ่งหมายความว่า ในทางปฏิบัติ แม้ว่ามิจฉาชีพจะมีใบรับรอง แต่พวกเขาจะไม่สามารถใช้ใบรับรองเหล่านั้นได้ เว้นแต่และจนกว่าพวกเขาจะถอดรหัสรหัสผ่านเหล่านั้น
ปัจจัยบรรเทา
ฟังดูเหมือนเป็นข่าวดีจากการเริ่มต้นที่แย่ และสิ่งที่ทำให้ข่าวดีขึ้นก็คือ:
- ใบรับรองเพียงสามใบเท่านั้นที่ยังไม่หมดอายุในวันที่พวกเขาถูกขโมย คุณไม่สามารถใช้ใบรับรองที่หมดอายุในการเซ็นรหัสใหม่ แม้ว่าคุณจะมีรหัสผ่านเพื่อถอดรหัสใบรับรองก็ตาม
- ใบรับรองที่ถูกขโมยใบหนึ่งหมดอายุในระหว่างนั้นเมื่อวันที่ 2023-01-04 ใบรับรองนั้นมีไว้สำหรับลงชื่อโปรแกรม Windows
- ใบรับรองที่ถูกขโมยครั้งที่สองจะหมดอายุในวันพรุ่งนี้ 2023-02-01 นั่นเป็นใบรับรองการลงนามสำหรับซอฟต์แวร์ Windows
- ใบรับรองล่าสุดจะหมดอายุในปี 2027 เท่านั้น อันนี้มีไว้สำหรับเซ็นชื่อแอพของ Apple ดังนั้น GitHub จึงบอกว่าใช่ “ทำงานร่วมกับ Apple เพื่อตรวจสอบ […] แอพใหม่ที่ลงนามแล้ว” โปรดทราบว่ามิจฉาชีพยังคงต้องถอดรหัสรหัสผ่านใบรับรองก่อน
- ใบรับรองที่ได้รับผลกระทบทั้งหมดจะถูกเพิกถอนในวันที่ 2023-02-02 ใบรับรองที่ถูกเพิกถอนจะเพิ่มลงในรายการตรวจสอบพิเศษที่ระบบปฏิบัติการ (พร้อมกับแอป เช่น เบราว์เซอร์) สามารถใช้เพื่อบล็อกเนื้อหาที่รับรองโดยใบรับรองที่ไม่ควรเชื่อถืออีกต่อไป
- จากข้อมูลของ GitHub ไม่มีการเปลี่ยนแปลงใด ๆ โดยไม่ได้รับอนุญาตกับที่เก็บใด ๆ ที่ถูกดูดเข้าไป ดูเหมือนว่านี่เป็นการประนีประนอมแบบ "อ่านอย่างเดียว" ซึ่งผู้โจมตีสามารถมอง แต่ไม่สามารถแตะต้องได้
จะทำอย่างไร?
ข่าวดีก็คือ หากคุณไม่ใช่ผู้ใช้ GitHub Desktop หรือ Atom คุณไม่จำเป็นต้องทำอะไรในทันที
ถ้าคุณมี GitHub เดสก์ท็อปคุณต้องอัปเกรดก่อนวันพรุ่งนี้ เพื่อให้แน่ใจว่าคุณได้แทนที่อินสแตนซ์ใดๆ ของแอปที่ลงนามด้วยใบรับรองซึ่งกำลังจะถูกตั้งค่าสถานะว่าไม่ถูกต้อง
หากคุณยังคงใช้ อะตอม (ซึ่งถูกยกเลิกในเดือนมิถุนายน 2022 และสิ้นสุดชีวิตในฐานะโครงการซอฟต์แวร์ GitHub อย่างเป็นทางการในวันที่ 2022-12-15) คุณจะต้องอยากรู้อยากเห็น มือตก เป็นเวอร์ชันที่เก่ากว่าเล็กน้อยซึ่งไม่ได้ลงนามด้วยใบรับรองที่ถูกขโมยไปในขณะนี้
เนื่องจาก Atom สิ้นสุดอายุอย่างเป็นทางการแล้ว และจะไม่ได้รับการอัปเดตด้านความปลอดภัยอีกต่อไป คุณน่าจะเปลี่ยนมันอยู่ดี (Visual Studio Code ที่ได้รับความนิยมเป็นพิเศษซึ่งเป็นของ Microsoft ดูเหมือนจะเป็นสาเหตุหลักที่ทำให้ Atom ถูกยกเลิกในตอนแรก)
หากคุณเป็นนักพัฒนาหรือผู้จัดการซอฟต์แวร์ด้วยตัวคุณเอง...
…ทำไมไม่ใช้สิ่งนี้เป็นแรงจูงใจให้ไปตรวจสอบ:
- ใครบ้างที่สามารถเข้าถึงส่วนใดของเครือข่ายการพัฒนาของเรา โดยเฉพาะอย่างยิ่งสำหรับโครงการเดิมหรือโครงการที่หมดอายุการใช้งาน มีผู้ใช้ระบบเดิมที่ยังเหลือสิทธิ์เข้าถึงที่ไม่ต้องการอีกหรือไม่
- การเข้าถึงที่เก็บโค้ดของเราถูกล็อกอย่างระมัดระวังเพียงใด ผู้ใช้รายใดมีรหัสผ่านหรือโทเค็นการเข้าถึงที่อาจถูกขโมยหรือนำไปใช้ในทางที่ผิดได้ง่าย หากคอมพิวเตอร์ของตนเองถูกบุกรุกหรือไม่
- มีใครอัปโหลดไฟล์ที่ไม่ควรมี? Windows อาจทำให้ผู้ใช้ที่เคยใช้แล้วเข้าใจผิดได้โดยการระงับส่วนขยายที่ส่วนท้ายของชื่อไฟล์ ดังนั้นคุณจึงไม่แน่ใจเสมอว่าไฟล์ใดคือไฟล์ใด ระบบ Linux และ Unix รวมถึง macOS จะซ่อนโดยอัตโนมัติจากการดู (แต่ไม่ใช่จากการใช้งาน!) ไฟล์และไดเร็กทอรีใดๆ ที่ขึ้นต้นด้วยอักขระจุด (จุด)
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/01/31/github-code-signing-certificates-stolen-but-will-be-revoked-this-week/
- 1
- 2022
- 7
- a
- สามารถ
- เกี่ยวกับเรา
- แน่นอน
- เข้า
- ลงชื่อเข้าใช้
- บัญชี
- ที่ได้มา
- จริง
- ที่เพิ่ม
- หลังจาก
- กับ
- ทั้งหมด
- แล้ว
- เสมอ
- และ
- อื่น
- คำตอบ
- ทุกคน
- app
- Apple
- การอนุมัติ
- ปพลิเคชัน
- เอกสารเก่า
- ที่เกี่ยวข้อง
- อะตอม
- โจมตี
- ผู้เขียน
- รถยนต์
- อัตโนมัติ
- background-image
- ไม่ดี
- เพราะ
- ก่อน
- เริ่ม
- ดีกว่า
- ปิดกั้น
- ชายแดน
- ด้านล่าง
- ช่องโหว่
- เบราว์เซอร์
- การก่อสร้าง
- กำ
- ธุรกิจ
- โทรศัพท์
- ระมัดระวัง
- รอบคอบ
- กรณี
- ศูนย์
- อย่างแน่นอน
- ใบรับรอง
- ใบรับรอง
- การเปลี่ยนแปลง
- ตัวอักษร
- ตรวจสอบ
- การเรียกร้อง
- รหัส
- เพื่อนร่วมงาน
- สี
- บริษัท
- การประนีประนอม
- ที่ถูกบุกรุก
- คอมพิวเตอร์
- ความมั่นใจ
- องค์ประกอบ
- มี
- เนื้อหา
- เนื้อหา
- ไทม์ไลน์การ
- ได้
- หลักสูตร
- หน้าปก
- ร้าว
- หนังสือรับรอง
- อาชญากร
- Crooks
- ลูกค้า
- อาชญากรไซเบอร์
- ข้อมูล
- การรั่วไหลของข้อมูล
- ฐานข้อมูล
- ฐานข้อมูล
- วัน
- ธันวาคม
- ถอดรหัส
- แผนก
- เดสก์ท็อป
- รายละเอียด
- ตรวจพบ
- ผู้พัฒนา
- นักพัฒนา
- พัฒนาการ
- โดยตรง
- ไดเรกทอรี
- แสดง
- Dont
- DOT
- ลง
- อย่างง่ายดาย
- ผลกระทบ
- ทั้ง
- ที่อื่น ๆ
- อีเมล
- อีเมล
- ที่มีการเข้ารหัส
- ทำให้มั่นใจ
- ทั้งหมด
- โดยเฉพาะอย่างยิ่ง
- สร้าง
- แม้
- ทุกคน
- ตัวอย่าง
- ที่มีอยู่
- มีประสบการณ์
- ขยายออก
- ส่วนขยาย
- รูป
- เนื้อไม่มีมัน
- ไฟล์
- ชื่อจริง
- ถูกตั้งค่าสถานะ
- ราคาเริ่มต้นที่
- ได้รับ
- ได้รับ
- GitHub
- ให้
- Go
- ดี
- เกิดขึ้น
- ที่เกิดขึ้น
- ความสูง
- ซ่อน
- ถือ
- โฉบ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- HTTPS
- ทันที
- ส่งผลกระทบ
- in
- แรงจูงใจ
- ประกอบด้วย
- รวมทั้ง
- ข้อมูล
- โครงสร้างพื้นฐาน
- Intelligence
- ภายใน
- IT
- ตัวเอง
- ศัพท์แสง
- ที่รู้จักกัน
- ชื่อสกุล
- นำ
- รั่วไหล
- มรดก
- ชีวิต
- ลินุกซ์
- ล็อค
- อีกต่อไป
- ดู
- LOOKS
- เครื่อง
- MacOS
- ทำ
- ทำให้
- ผู้จัดการ
- ขอบ
- ความกว้างสูงสุด
- วิธี
- ข้อความ
- ไมโครซอฟท์
- อาจ
- ข้อผิดพลาด
- ซึ่งบรรเทา
- การตรวจสอบ
- เดือน
- ข้อมูลเพิ่มเติม
- ชื่อ
- เกือบทั้งหมด
- จำเป็นต้อง
- ค่า
- เครือข่าย
- ใหม่
- ข่าว
- ปกติ
- เป็นทางการ
- ONE
- โอเพนซอร์ส
- การดำเนินงาน
- ระบบปฏิบัติการ
- องค์กร
- อื่นๆ
- Outlook
- ของตนเอง
- แพ็คเกจ
- ส่วนหนึ่ง
- ส่วน
- รหัสผ่าน
- รหัสผ่าน
- พอล
- ระยะเวลา
- ส่วนบุคคล
- สถานที่
- แผน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ตำแหน่ง
- โพสต์
- ที่มีศักยภาพ
- การปฏิบัติ
- สวย
- ก่อน
- ประถม
- ส่วนตัว
- อาจ
- ปัญหา
- ผลิตภัณฑ์
- โปรแกรม
- โครงการ
- โครงการ
- สาธารณะ
- สาธารณชน
- ประกาศ
- ใส่
- อย่างรวดเร็ว
- ถึง
- เหตุผล
- ปล่อย
- แทนที่
- แทนที่
- กรุ
- เปิดเผย
- ความเสี่ยง
- เดียวกัน
- ที่สอง
- ลับ
- ความปลอดภัย
- การปรับปรุงความปลอดภัย
- ดูเหมือนว่า
- ประโยค
- น่า
- ลงชื่อ
- ลงนาม
- การลงชื่อ
- ง่ายดาย
- So
- ซอฟต์แวร์
- ของแข็ง
- บาง
- บางคน
- บางสิ่งบางอย่าง
- ค่อนข้าง
- แหล่ง
- รหัสแหล่งที่มา
- พิเศษ
- โดยเฉพาะ
- เริ่มต้น
- ยังคง
- ที่ถูกขโมย
- การเก็บรักษา
- เก็บไว้
- สตูดิโอ
- อย่างเช่น
- ควร
- SVG
- ระบบ
- ระบบ
- ทีม
- พื้นที่
- ของพวกเขา
- ที่นั่น
- ในสัปดาห์นี้
- สาม
- เวลา
- ไปยัง
- โทเค็น
- ราชสกุล
- วันพรุ่งนี้
- ด้านบน
- แตะ
- การเปลี่ยนแปลง
- โปร่งใส
- ที่เชื่อถือ
- ในที่สุด
- พื้นฐาน
- ยูนิกซ์
- การปรับปรุง
- อัพเกรด
- อัปโหลด
- URL
- ใช้
- ผู้ใช้งาน
- ผู้ใช้
- ต่างๆ
- รุ่น
- เหยื่อ
- รายละเอียด
- โหวต
- อยาก
- วิธี
- สัปดาห์
- อะไร
- ว่า
- ที่
- WHO
- จะ
- หน้าต่าง
- คำ
- คุ้มค่า
- จะ
- ผิด
- ของคุณ
- ลมทะเล