Một ngày khác, một vụ vi phạm cơ sở dữ liệu dựa trên mã thông báo truy cập khác.
Lần này, nạn nhân (và ở một khía cạnh nào đó, tất nhiên, cũng là thủ phạm) chính là Microsoft GitHub kinh doanh.
GitHub tuyên bố rằng nó phát hiện vi phạm một cách nhanh chóng, một ngày sau khi nó xảy ra, nhưng sau đó thiệt hại đã được thực hiện:
Vào ngày 6 tháng 2022 năm XNUMX, các kho lưu trữ từ
atom
,desktop
và các tổ chức thuộc sở hữu GitHub không dùng nữa đã được sao chép bằng Mã thông báo truy cập cá nhân (PAT) bị xâm phạm được liên kết với tài khoản máy. Sau khi bị phát hiện vào ngày 7 tháng 2022 năm XNUMX, nhóm của chúng tôi đã ngay lập tức thu hồi thông tin đăng nhập bị xâm phạm và bắt đầu điều tra tác động tiềm ẩn đối với khách hàng cũng như hệ thống nội bộ.
Nói một cách đơn giản: ai đó đã sử dụng mã truy cập được tạo trước có được từ nơi mà ai cũng biết để lấy nội dung của các kho lưu trữ mã nguồn khác nhau thuộc về chính GitHub.
Chúng tôi đoán rằng GitHub giữ mã của riêng mình trên GitHub (nó sẽ là một biểu quyết không tin tưởng vào chính nó nếu nó không làm như vậy!), nhưng đó không phải là cơ sở hạ tầng lưu trữ hoặc mạng GitHub bên dưới đã bị vi phạm, chỉ một số dự án riêng của GitHub đã được lưu trữ ở đó.
Beachheads và chuyển động bên
Hãy coi hành vi vi phạm này giống như việc kẻ gian lấy được mật khẩu kho lưu trữ email Outlook của bạn và tải xuống các thư có giá trị trong tháng trước của bạn.
Vào thời điểm bạn nhận thấy, email của chính bạn đã biến mất nhưng bản thân Outlook cũng như tài khoản của người dùng khác sẽ không bị ảnh hưởng trực tiếp.
Tuy nhiên, xin lưu ý rằng việc chúng tôi sử dụng cẩn thận từ “trực tiếp” trong câu trước, bởi vì việc xâm phạm một tài khoản trên hệ thống có thể dẫn đến hiệu ứng dây chuyền đối với những người dùng khác hoặc thậm chí đối với toàn bộ hệ thống.
Ví dụ: tài khoản email công ty của bạn gần như chắc chắn chứa thư từ và thư từ đồng nghiệp, bộ phận CNTT của bạn và các công ty khác.
Trong những email đó, bạn có thể đã tiết lộ thông tin bí mật về tên tài khoản, chi tiết hệ thống, kế hoạch kinh doanh, thông tin đăng nhập, v.v.
Sử dụng trí thông minh tấn công từ một phần của hệ thống để luồn lách vào các phần khác của cùng hệ thống đó hoặc các hệ thống khác được biết đến trong biệt ngữ là chuyển động bên, nơi tội phạm mạng lần đầu tiên thiết lập cái mà bạn có thể gọi là "điểm thỏa hiệp", sau đó cố gắng mở rộng quyền truy cập của chúng từ đó.
Có gì trong kho của bạn, dù sao?
Trong trường hợp cơ sở dữ liệu mã nguồn bị đánh cắp, cho dù chúng được lưu trữ trên GitHub hay ở nơi khác, luôn có nguy cơ kho lưu trữ riêng có thể bao gồm thông tin xác thực truy cập vào các hệ thống khác hoặc để tội phạm mạng lấy chứng chỉ ký mã được sử dụng khi thực sự xây dựng cơ sở dữ liệu đó. phần mềm phát hành ra công chúng.
Trên thực tế, kiểu rò rỉ dữ liệu này thậm chí có thể là một vấn đề đối với các kho lưu trữ công khai, bao gồm các dự án mã nguồn mở không bí mật và được cho là có thể tải xuống bởi bất kỳ ai.
Rò rỉ dữ liệu nguồn mở có thể xảy ra khi các nhà phát triển vô tình gộp các tệp riêng tư từ mạng phát triển của họ vào gói mã công khai mà cuối cùng họ tải lên để mọi người truy cập.
Loại lỗi này có thể dẫn đến rò rỉ rất công khai (và có thể tìm kiếm rất công khai) đối với các tệp cấu hình riêng, máy chủ riêng chìa khóa truy cập, cá nhân mã thông báo truy cập và mật khẩu, và thậm chí toàn bộ cây thư mục mà chỉ đơn giản là ở sai địa điểm và sai thời điểm.
Dù tốt hay xấu, GitHub đã mất gần hai tháng để tìm ra số lượng nội dung mà những kẻ tấn công của họ đã nắm giữ trong trường hợp này, nhưng câu trả lời hiện đã có và có vẻ như:
- Những kẻ lừa đảo đã nắm giữ chứng chỉ ký mã cho các sản phẩm GitHub Desktop và Atom. Về lý thuyết, điều này có nghĩa là họ có thể xuất bản phần mềm giả mạo với con dấu phê duyệt chính thức của Github trên đó. Lưu ý rằng bạn không cần phải là người dùng hiện tại của một trong những sản phẩm cụ thể đó để bị lừa – bọn tội phạm có thể cung cấp dấu ấn của GitHub cho hầu hết mọi phần mềm chúng muốn.
- Các chứng chỉ ký bị đánh cắp đã được mã hóa và dường như kẻ lừa đảo đã không lấy được mật khẩu. Trên thực tế, điều này có nghĩa là mặc dù kẻ gian có chứng chỉ nhưng chúng sẽ không thể sử dụng chúng trừ khi và cho đến khi chúng bẻ khóa được các mật khẩu đó.
Các yếu tố giảm thiểu
Nghe có vẻ như là một tin tốt từ một khởi đầu tồi tệ, và điều làm cho tin tốt hơn nữa là:
- Chỉ có ba trong số các chứng chỉ chưa hết hạn vào ngày chúng bị đánh cắp. Bạn không thể sử dụng chứng chỉ đã hết hạn để ký mã mới, ngay cả khi bạn có mật khẩu để giải mã chứng chỉ.
- Một chứng chỉ bị đánh cắp đã hết hạn trong thời gian tạm thời, vào ngày 2023-01-04. Chứng chỉ đó là để ký các chương trình Windows.
- Chứng chỉ bị đánh cắp thứ hai sẽ hết hạn vào ngày mai, 2023-02-01. Đó cũng là chứng chỉ ký cho phần mềm Windows.
- Chứng chỉ cuối cùng chỉ hết hạn vào năm 2027. Cái này là để ký các ứng dụng của Apple, vì vậy GitHub cho biết nó là “làm việc với Apple để theo dõi bất kỳ […] ứng dụng mới nào được ký.” Lưu ý rằng kẻ gian vẫn cần bẻ khóa mật khẩu chứng chỉ trước.
- Tất cả các chứng chỉ bị ảnh hưởng sẽ bị thu hồi vào ngày 2023-02-02. Các chứng chỉ bị thu hồi được thêm vào một danh sách kiểm tra đặc biệt mà các hệ điều hành (cùng với các ứng dụng như trình duyệt) có thể sử dụng để chặn nội dung được xác nhận bởi các chứng chỉ không còn đáng tin cậy.
- Theo GitHub, không có thay đổi trái phép nào được thực hiện đối với bất kỳ kho lưu trữ nào đã bị truy cập. Có vẻ như đây là một thỏa hiệp “chỉ đọc”, trong đó những kẻ tấn công có thể nhìn nhưng không thể chạm vào.
Phải làm gì?
Tin vui là nếu bạn không phải là người dùng GitHub Desktop hoặc Atom, thì bạn không cần phải làm gì ngay lập tức.
Nếu bạn có GitHub Máy tính để bàn, bạn cần nâng cấp trước ngày mai để đảm bảo rằng bạn đã thay thế bất kỳ phiên bản nào của ứng dụng đã được ký bằng chứng chỉ sắp bị gắn cờ xấu.
Nếu bạn vẫn đang sử dụng Nguyên tử (đã ngừng hoạt động vào tháng 2022 năm 2022 và kết thúc vòng đời của nó với tư cách là một dự án phần mềm GitHub chính thức vào ngày 12-15-XNUMX), bạn sẽ hơi tò mò cần phải hạ cấp sang phiên bản cũ hơn một chút không được ký bằng chứng chỉ hiện đã bị đánh cắp.
Cho rằng Atom đã hết tuổi thọ chính thức và sẽ không nhận được bất kỳ bản cập nhật bảo mật nào nữa, có lẽ bạn vẫn nên thay thế nó. (Visual Studio Code cực kỳ phổ biến, cũng thuộc về Microsoft, dường như là lý do chính khiến Atom bị ngừng sản xuất ngay từ đầu.)
Nếu bản thân bạn là nhà phát triển hoặc người quản lý phần mềm…
…tại sao không sử dụng điều này như một động cơ để đi và kiểm tra:
- Ai có quyền truy cập vào phần nào trong mạng lưới phát triển của chúng tôi? Đặc biệt đối với các dự án cũ hoặc sắp hết hạn sử dụng, có bất kỳ người dùng cũ nào vẫn còn quyền truy cập mà họ không cần nữa không?
- Quyền truy cập vào kho lưu trữ mã của chúng tôi được khóa cẩn thận như thế nào? Có bất kỳ người dùng nào có mật khẩu hoặc mã thông báo truy cập có thể dễ dàng bị đánh cắp hoặc sử dụng sai nếu máy tính của họ bị xâm nhập không?
- Có ai đã tải lên các tệp không nên ở đó không? Windows có thể đánh lừa ngay cả những người dùng có kinh nghiệm bằng cách chặn các phần mở rộng ở cuối tên tệp, vì vậy bạn không phải lúc nào cũng chắc chắn tệp nào là tệp nào. Các hệ thống Linux và Unix, bao gồm macOS, tự động ẩn khỏi chế độ xem (nhưng không sử dụng!) bất kỳ tệp và thư mục nào bắt đầu bằng ký tự dấu chấm (dấu chấm).
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/01/31/github-code-signing-certificates-stolen-but-will-be-revoked-this-week/
- 1
- 2022
- 7
- a
- Có khả năng
- Giới thiệu
- Tuyệt đối
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- mua lại
- thực sự
- thêm
- Sau
- chống lại
- Tất cả
- Đã
- luôn luôn
- và
- Một
- câu trả lời
- bất kỳ ai
- ứng dụng
- Apple
- phê duyệt
- ứng dụng
- lưu trữ
- liên kết
- nguyên tử
- tấn công
- tác giả
- tự động
- tự động
- background-image
- Bad
- bởi vì
- trước
- bắt đầu
- Hơn
- Chặn
- biên giới
- đáy
- vi phạm
- trình duyệt
- Xây dựng
- Bó lại
- kinh doanh
- cuộc gọi
- cẩn thận
- cẩn thận
- trường hợp
- Trung tâm
- chắc chắn
- Giấy chứng nhận
- Giấy chứng nhận
- Những thay đổi
- tính cách
- kiểm tra
- tuyên bố
- mã
- đồng nghiệp
- màu sắc
- Các công ty
- thỏa hiệp
- Thỏa hiệp
- máy tính
- sự tự tin
- Cấu hình
- chứa
- nội dung
- nội dung
- Doanh nghiệp
- có thể
- khóa học mơ ước
- che
- nứt
- Credentials
- Tội phạm
- Crooks
- khách hàng
- tội phạm mạng
- dữ liệu
- rò rỉ dữ liệu
- Cơ sở dữ liệu
- cơ sở dữ liệu
- ngày
- Tháng mười hai
- Giải mã
- bộ
- máy tính để bàn
- chi tiết
- phát hiện
- Nhà phát triển
- phát triển
- Phát triển
- trực tiếp
- thư mục
- Giao diện
- dont
- DOT
- xuống
- dễ dàng
- hiệu ứng
- hay
- nơi khác
- mã hóa
- đảm bảo
- Toàn bộ
- đặc biệt
- thành lập
- Ngay cả
- mọi người
- ví dụ
- hiện tại
- kinh nghiệm
- thêm
- mở rộng
- Hình
- Tập tin
- Các tập tin
- Tên
- được gắn cờ
- từ
- được
- nhận được
- GitHub
- Cho
- Go
- tốt
- xảy ra
- đã xảy ra
- cao
- Ẩn giấu
- tổ chức
- di chuột
- Độ đáng tin của
- Tuy nhiên
- HTTPS
- ngay
- Va chạm
- in
- Khuyến khích
- bao gồm
- Bao gồm
- thông tin
- Cơ sở hạ tầng
- Sự thông minh
- nội bộ
- IT
- chính nó
- biệt ngữ
- nổi tiếng
- Họ
- dẫn
- bị rò rỉ
- Legacy
- Cuộc sống
- linux
- khóa
- còn
- Xem
- NHÌN
- máy
- hệ điều hành Mac
- thực hiện
- LÀM CHO
- giám đốc
- Lợi nhuận
- max-width
- có nghĩa
- tin nhắn
- microsoft
- Might
- sai lầm
- giảm nhẹ
- Màn Hình
- tháng
- chi tiết
- tên
- gần
- Cần
- Cũng không
- mạng
- Mới
- tin tức
- bình thường
- chính thức
- ONE
- mã nguồn mở
- hoạt động
- các hệ điều hành
- tổ chức
- Nền tảng khác
- Outlook
- riêng
- gói
- một phần
- các bộ phận
- Mật khẩu
- Mật khẩu
- paul
- thời gian
- riêng
- Nơi
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- vị trí
- bài viết
- tiềm năng
- thực hành
- khá
- trước
- chính
- riêng
- có lẽ
- Vấn đề
- Sản phẩm
- Khóa Học
- dự án
- dự án
- công khai
- công khai
- xuất bản
- đặt
- Mau
- đạt
- lý do
- phát hành
- thay thế
- thay thế
- kho
- Tiết lộ
- Nguy cơ
- tương tự
- Thứ hai
- Bí mật
- an ninh
- cập nhật bảo mật
- dường như
- kết án
- nên
- đăng ký
- Ký kết
- ký
- đơn giản
- So
- Phần mềm
- rắn
- một số
- Một người nào đó
- một cái gì đó
- phần nào
- nguồn
- mã nguồn
- đặc biệt
- riêng
- Bắt đầu
- Vẫn còn
- ăn cắp
- là gắn
- lưu trữ
- phòng thu
- như vậy
- phải
- SVG
- hệ thống
- hệ thống
- nhóm
- Sản phẩm
- cung cấp their dịch
- Đó
- tuần này
- số ba
- thời gian
- đến
- mã thông báo
- Tokens
- mai
- hàng đầu
- chạm
- quá trình chuyển đổi
- minh bạch
- đáng tin cậy
- Cuối cùng
- cơ bản
- unix
- Cập nhật
- nâng cấp
- tải lên
- URL
- sử dụng
- người sử dang
- Người sử dụng
- khác nhau
- phiên bản
- nạn nhân
- Xem
- Bỏ phiếu
- muốn
- cách
- tuần
- Điều gì
- liệu
- cái nào
- CHÚNG TÔI LÀ
- sẽ
- cửa sổ
- Từ
- giá trị
- sẽ
- Sai
- trên màn hình
- zephyrnet