GitHub enquête sur un accès non autorisé à des dépôts internes

 (twitter.com/github)
1 points par GN⁺ 2 시간 전 | 1 commentaires | Partager sur WhatsApp
  • GitHub enquête sur un accès non autorisé à des dépôts internes, et la portée actuellement confirmée se limite à l’accès à ces dépôts internes
  • À ce stade, il n’existe aucune preuve d’un impact sur des données clients stockées en dehors des dépôts internes de GitHub
  • Aucun impact n’a été constaté sur les enterprises, les organisations ou les dépôts des clients
  • GitHub surveille étroitement son infrastructure afin de détecter toute activité ultérieure
  • Si un impact est découvert, les clients en seront informés via les canaux existants de réponse aux incidents et de notification

À lire aussi

1 commentaires

 
GN⁺ 2 시간 전
Réactions sur Hacker News

  • GitHub a indiqué que « l’évaluation actuelle est que seuls des dépôts internes de GitHub ont été divulgués », et que les environ 3 800 dépôts revendiqués par l’attaquant correspondent aussi globalement à l’enquête menée jusqu’à présent
    Glauque
    https://xcancel.com/github/status/2056949169701720157

  • Je ne sais pas si c’est vraiment approprié de faire ce genre d’annonce d’incident de sécurité sur Twitter/X
    On ne voit rien sur le blog officiel ni sur la page de statut
    https://github.blog/
    https://www.githubstatus.com/

    • Clairement, ce n’est pas la plateforme adaptée
      S’il y avait eu une annonce officielle ailleurs, j’aurais encore pu le comprendre, mais là on a aussi l’impression qu’ils ont voulu réduire la visibilité par gêne et ne communiquer que de manière technique
      GitHub n’a publié cela que sur X.com, qui fait à peine mieux que Pinterest en usage et reste derrière Reddit, Snapchat, WeChat et Instagram
      Sans compter qu’il faut un compte pour voir le profil et les publications, indépendamment du fait que X soit une plateforme clivante à cause de ses positions politiques extrêmes
      Ils n’ont rien publié non plus à ce sujet sur BlueSky, Facebook, TikTok, YouTube, LinkedIn ou Mastodon, et n’ont pas envoyé d’e-mail
    • Cela reste une plateforme de messagerie très populaire auprès des technophiles
    • Si les clients doivent prendre des mesures, c’est probablement le meilleur choix après l’e-mail de masse
      La page de statut sert aux problèmes de fiabilité qui touchent les utilisateurs finaux, et le blog est plutôt fait pour des analyses approfondies

  • GitHub a déclaré qu’il « enquête sur un accès non autorisé à des dépôts internes de GitHub » et qu’à ce stade, rien ne prouve un impact sur les données clients stockées hors de ces dépôts internes, comme les données des clients concernant leurs entreprises, organisations ou dépôts
    Ils disent aussi surveiller de près l’infrastructure pour détecter toute activité ultérieure

    • Ça rappelle la célèbre formule de Nixon du genre « des erreurs ont été commises »
      « Nous enquêtons sur un accès non autorisé » sonne bien mieux que « nous nous sommes fait pirater »

  • Indépendamment de l’incident de sécurité, je n’aime pas trop la tendance croissante des entreprises à imposer X comme seule source officielle pour ce type d’annonce
    J’en comprends la raison. Ça semble trop léger pour status.github.com ou pour le blog
    Il manque peut-être quelque part entre la page de statut et le tweet un canal d’annonce temporaire officiel, sous leur propre domaine

    • S’il s’agit d’un sujet nécessitant une action des utilisateurs, j’imagine qu’ils communiqueront directement avec les clients

  • C’est grave
    S’ils ont d’abord annoncé les choses comme ça, sans longue explication détaillée, c’est probablement qu’ils regardent encore un trou dont ils ne voient pas le fond et qu’ils n’arrivent même pas encore à refermer
    Une entreprise du Fortune 100 veut éviter à tout prix d’effrayer ses investisseurs de cette manière

    • Prévenir rapidement les gens est aussi la bonne chose à faire, et c’est probablement exigé par au moins certains contrats clients
      On ne peut pas en informer seulement certains clients. Ça finira de toute façon par fuiter

  • Pour sécuriser GitHub Actions, il faut utiliser de l’analyse statique pour trouver les problèmes : https://github.com/zizmorcore/zizmor
    En local, on peut configurer un délai de 3 jours avec quelque chose comme pnpm config set minimum-release-age 4320 : https://pnpm.io/supply-chain-security
    Pour les autres gestionnaires de paquets, voir ici : https://gist.github.com/mcollina/b294a6c39ee700d24073c0e5a4e...
    Lors de l’installation de paquets npm en CI, on peut aussi ajouter Socket Free Firewall : https://docs.socket.dev/docs/socket-firewall-free#github-act...

    • La seule façon de vraiment durcir GitHub Actions, c’est de ne pas utiliser GitHub Actions
    • Désactiver les mises à jour automatiques des extensions vscode/cursor a aussi du sens
    • Il faut aussi faire attention lorsqu’on traite le titre et la description d’une PR dans GHA
      Si cela contient text, ça peut être exécuté. Selon la configuration de GHA, ce n’est pas « forcément », mais plutôt « ça peut arriver »

  • C’est malheureux pour les ingénieurs de GitHub et pour tout le monde, et même si ce qui a été découvert reste limité, leur démarche de communication publique est appréciable
    J’imagine qu’ils trouveront la cause racine et publieront les résultats pour que tout le monde puisse en tirer des leçons

  • Lien autre que Twitter : https://xcancel.com/github/status/2056884788179726685#m

    • Tous les liens X devraient pratiquement être partagés ainsi par défaut
      X est un site tellement hostile aux utilisateurs non connectés qu’ils ne peuvent quasiment rien voir
      Et il est aussi hostile aux utilisateurs connectés, mais d’une autre manière

  • https://pbs.twimg.com/media/HItbXhvW4AAMD8W?format=jpg&name=...
    Il est dit que tous les dépôts ont été copiés et sont en vente
    L’attaquant serait TeamPCP, créateur du malware Shai-Hulud

    • Si c’est vrai et qu’ils comptent détruire leur propre copie après la vente, pourquoi GitHub ne pourrait-il pas simplement le racheter directement via un intermédiaire ?