GitHub investiga acceso no autorizado a repositorios internos

 (twitter.com/github)
1 puntos por GN⁺ 2 시간 전 | 1 comentarios | Compartir por WhatsApp
  • GitHub está investigando un acceso no autorizado a repositorios internos, y el alcance confirmado hasta ahora se limita al acceso a repositorios internos
  • Hasta el momento, no hay evidencia de que se haya visto afectada información de clientes almacenada fuera de los repositorios internos de GitHub
  • No se ha confirmado impacto en los enterprises, organizations ni repositories de los clientes
  • GitHub está monitoreando de cerca su infraestructura para identificar cualquier actividad posterior
  • Si se detecta algún impacto, notificará a los clientes a través de sus canales existentes de respuesta a incidentes y notificación

Lecturas relacionadas

1 comentarios

 
GN⁺ 2 시간 전
Opiniones en Hacker News

  • GitHub dijo que “la evaluación actual es que solo se filtraron repositorios internos de GitHub”, y que los aproximadamente 3,800 repositorios que afirmó el atacante también coinciden en gran medida con la investigación hasta ahora
    Da escalofríos
    https://xcancel.com/github/status/2056949169701720157

  • No sé si tenga sentido hacer este tipo de anuncios de incidentes de seguridad por Twitter/X
    No se ve nada en el blog oficial ni en la página de estado
    https://github.blog/
    https://www.githubstatus.com/

    • Definitivamente no es la plataforma adecuada
      Si hubiera habido un aviso oficial en otro lado, todavía lo entendería, pero también da la impresión de que quisieron bajar la visibilidad por vergüenza y anunciarlo solo de forma técnica
      GitHub publicó esto solo en X.com, que por uso apenas está un poco por encima de Pinterest y por debajo de Reddit, Snapchat, WeChat e Instagram
      Además, necesitas una cuenta para ver el perfil y las publicaciones, aparte de que X es una plataforma divisiva por su inclinación política extrema
      Sobre este tema, tampoco publicaron nada en BlueSky, Facebook, TikTok, YouTube, LinkedIn ni Mastodon, y tampoco enviaron correo
    • Sí es una plataforma de mensajería muy popular entre la gente técnica
    • Si es una situación en la que el cliente tiene que tomar medidas, probablemente sea la mejor opción después de un correo masivo
      La página de estado es para problemas de confiabilidad que afectan al usuario final, y el blog es más para análisis a fondo

  • GitHub dijo que está “investigando acceso no autorizado a repositorios internos de GitHub”, y que por ahora no hay evidencia de impacto en información de clientes almacenada fuera de esos repositorios internos, como los datos de enterprise, organizaciones o repositorios de los clientes
    También dijo que está monitoreando de cerca la infraestructura para ver si hay actividad posterior

    • Me recuerda la famosa forma de Nixon de decir “se cometieron errores”
      “Estamos investigando acceso no autorizado” suena mucho mejor que “nos hackearon”

  • Dejando aparte el tema de seguridad, no me gusta la tendencia de que cada vez más empresas empujen este tipo de avisos con X como única fuente oficial
    Entiendo la razón. Esto se siente demasiado ligero para status.github.com o para el blog
    Quizá lo que falta es algún canal oficial temporal de avisos bajo su propio dominio, en algún punto entre la página de estado y un tuit

    • Entiendo que, si fuera algo que requiriera acción del usuario, le mandarían una comunicación directa al cliente

  • Esto es grave
    Si lo anunciaron así primero, sin una explicación larga y detallada, probablemente significa que están viendo un hoyo cuyo fondo todavía no alcanzan a ver y que ni siquiera han podido tapar
    Una empresa del Fortune 100 querría evitar a toda costa asustar a los inversionistas de esta manera

    • También es correcto avisarle rápido a la gente, y probablemente algunos contratos con clientes al menos lo exijan
      Tampoco puedes avisarle solo a ciertos clientes. De todos modos se va a filtrar

  • Para asegurar GitHub Actions hay que usar análisis estático para encontrar problemas: https://github.com/zizmorcore/zizmor
    En local puedes configurar algo como pnpm config set minimum-release-age 4320 para poner una demora de 3 días: https://pnpm.io/supply-chain-security
    Para otros gestores de paquetes, ve aquí: https://gist.github.com/mcollina/b294a6c39ee700d24073c0e5a4e...
    Al instalar paquetes npm en CI, también puedes agregar Socket Free Firewall: https://docs.socket.dev/docs/socket-firewall-free#github-act...

    • La única forma de reforzar GitHub Actions es no usar GitHub Actions
    • También tiene sentido desactivar las actualizaciones automáticas de las extensiones de vscode/cursor
    • También hay que tener cuidado al manejar títulos y descripciones de PR en GHA
      Si ahí entra text, podría ejecutarse. Dependiendo de la configuración de GHA, no es tanto “siempre pasa” como “puede pasar”

  • Es una lástima para los ingenieros de GitHub y para todos, y aunque lo descubierto sea limitado, está bien esa actitud de avisarlo públicamente
    Supongo que encontrarán la causa raíz y publicarán los resultados para que todos aprendan de ello

  • Enlace que no es de Twitter: https://xcancel.com/github/status/2056884788179726685#m

    • En realidad todos los enlaces de X deberían ir así por defecto
      X es un sitio tan hostil para quienes no han iniciado sesión que prácticamente no deja ver nada
      Y para quienes sí han iniciado sesión, también es hostil, solo que de otras maneras

  • https://pbs.twimg.com/media/HItbXhvW4AAMD8W?format=jpg&name=...
    Dicen que todos los repositorios fueron copiados y puestos a la venta
    El atacante sería TeamPCP, creador del malware Shai-Hulud

    • Si eso es cierto y después de venderlo piensa destruir su propia copia, ¿qué impediría que GitHub simplemente lo recompre directamente mediante un intermediario?