GitHub đang điều tra việc truy cập trái phép vào kho lưu trữ nội bộ

 (twitter.com/github)
1 điểm bởi GN⁺ 2 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • GitHub đang điều tra truy cập trái phép vào các kho lưu trữ nội bộ, và phạm vi hiện được xác nhận là truy cập vào kho lưu trữ nội bộ
  • Cho đến nay chưa có bằng chứng cho thấy thông tin khách hàng được lưu trữ bên ngoài các kho lưu trữ nội bộ của GitHub bị ảnh hưởng
  • Chưa xác nhận có ảnh hưởng đến enterprises, organizations, repositories của khách hàng
  • GitHub đang giám sát chặt chẽ hạ tầng để xác định các hoạt động tiếp theo
  • Nếu phát hiện ảnh hưởng, công ty sẽ thông báo cho khách hàng thông qua các kênh ứng phó sự cố và thông báo hiện có

Bài viết liên quan

1 bình luận

 
GN⁺ 2 giờ trước
Ý kiến trên Hacker News

  • GitHub cho biết “đánh giá hiện tại là chỉ các kho lưu trữ nội bộ của GitHub bị lộ”, và con số khoảng 3.800 kho lưu trữ mà kẻ tấn công tuyên bố cũng nhìn chung khớp với kết quả điều tra cho đến lúc này
    Hú hồn
    https://xcancel.com/github/status/2056949169701720157

  • Không rõ việc đưa ra thông báo sự cố bảo mật kiểu này trên Twitter/X có phù hợp không
    Không thấy gì trên blog chính thức hay trang trạng thái
    https://github.blog/
    https://www.githubstatus.com/

    • Chắc chắn đây không phải nền tảng phù hợp
      Nếu có thông báo chính thức ở nơi khác thì còn có thể hiểu được phần nào, nhưng như hiện tại lại trông giống kiểu cố tình giảm mức độ hiển thị vì thấy xấu hổ, rồi chỉ thông báo theo cách mang tính kỹ thuật
      GitHub chỉ đăng việc này trên X.com, một nền tảng chỉ nhỉnh hơn Pinterest một chút về lượng sử dụng và còn thấp hơn Reddit, Snapchat, WeChat, Instagram
      Chưa kể muốn xem hồ sơ và bài đăng thì phải có tài khoản, còn việc X là một nền tảng gây chia rẽ vì xu hướng chính trị cực đoan thì lại là chuyện khác
      Họ cũng không đăng về việc này lên BlueSky, Facebook, TikTok, YouTube, LinkedIn, Mastodon, và cũng không gửi email
    • Dù vậy đây vẫn là một nền tảng nhắn tin cực kỳ phổ biến với giới mê công nghệ
    • Nếu đây là tình huống khách hàng cần phải hành động, thì ngoài email hàng loạt ra, có lẽ đây vẫn là lựa chọn tốt nhất
      Trang trạng thái dành cho các vấn đề độ tin cậy ảnh hưởng tới người dùng cuối, còn blog thì gần với nơi đăng phân tích chuyên sâu hơn

  • GitHub cho biết họ đang “điều tra truy cập trái phép vào các kho lưu trữ nội bộ của GitHub”, và hiện chưa có bằng chứng cho thấy dữ liệu khách hàng được lưu bên ngoài các kho nội bộ — như enterprise, tổ chức hay kho lưu trữ của khách hàng — bị ảnh hưởng
    Họ nói đang giám sát chặt hạ tầng để xem có hoạt động tiếp diễn nào không

    • Làm tôi nhớ đến kiểu diễn đạt nổi tiếng của Nixon: “đã có sai sót xảy ra”
      “Đang điều tra truy cập trái phép” nghe dễ chịu hơn nhiều so với “đã bị hack”

  • Tách riêng chuyện bảo mật ra, tôi không thích xu hướng ngày càng nhiều công ty đẩy X thành nguồn chính thức duy nhất cho các thông báo kiểu này
    Tôi hiểu lý do. Nó khá nhẹ và có vẻ không hẳn phù hợp để đăng lên status.github.com hay blog
    Có lẽ đang thiếu một kênh thông báo tạm thời chính thức nào đó nằm đâu đó giữa trang trạng thái và tweet, nhưng vẫn thuộc tên miền của họ

    • Nếu đây là vấn đề đòi hỏi người dùng phải hành động thì tôi hiểu là họ sẽ liên hệ trực tiếp với khách hàng

  • Chuyện này nghiêm trọng đấy
    Nếu họ công bố như vậy trước cả khi có giải thích dài và chi tiết, thì rất có thể nghĩa là họ đang nhìn vào một cái hố chưa thấy đáy và vẫn chưa đậy nổi nắp lại
    Một công ty thuộc Fortune 100 mà chủ động làm nhà đầu tư hoảng sợ thì đó hẳn là cách họ muốn tránh nhất

    • Báo cho mọi người sớm cũng là điều đúng đắn, và ít nhất trong một số hợp đồng khách hàng thì đây có thể còn là yêu cầu bắt buộc
      Họ cũng không thể chỉ báo cho một số khách hàng nhất định thôi. Dù sao thì chuyện này rồi cũng sẽ lộ ra

  • Muốn siết chặt bảo mật GitHub Actions thì nên dùng phân tích tĩnh để tìm vấn đề: https://github.com/zizmorcore/zizmor
    Trên máy local có thể đặt độ trễ 3 ngày bằng cấu hình như pnpm config set minimum-release-age 4320: https://pnpm.io/supply-chain-security
    Trình quản lý gói khác thì xem ở đây: https://gist.github.com/mcollina/b294a6c39ee700d24073c0e5a4e...
    Khi cài gói npm trong CI, cũng có thể thêm Socket Free Firewall: https://docs.socket.dev/docs/socket-firewall-free#github-act...

    • Cách duy nhất để gia cố GitHub Actions là đừng dùng GitHub Actions
    • Việc tắt cập nhật tự động cho các extension vscode/cursor cũng có lý
    • Cũng nên cẩn thận khi xử lý tiêu đề và mô tả PR trong GHA
      Nếu trong đó có text thì nó có thể bị thực thi. Tùy cấu hình GHA mà chuyện này không hẳn là “chắc chắn xảy ra”, mà đúng hơn là “có thể xảy ra”

  • Thật đáng tiếc cho các kỹ sư GitHub và mọi người liên quan, nhưng ngay cả khi những gì phát hiện được còn hạn chế thì thái độ công khai thông báo như vậy vẫn là điều tốt
    Tôi nghĩ họ sẽ tìm ra nguyên nhân gốc rễ và công bố kết quả để mọi người cùng rút kinh nghiệm

  • Link không qua Twitter: https://xcancel.com/github/status/2056884788179726685#m

    • Mọi liên kết X thực tế nên mặc định dùng kiểu này
      Với người không đăng nhập, X là một website thù địch đến mức gần như không xem được gì
      Với người đã đăng nhập thì nó cũng thù địch theo những cách khác

  • https://pbs.twimg.com/media/HItbXhvW4AAMD8W?format=jpg&name=...
    Có vẻ như toàn bộ kho lưu trữ đã bị sao chép và đang được rao bán
    Kẻ tấn công được cho là TeamPCP, nhóm tạo ra mã độc Shai-Hulud

    • Nếu đó là sự thật và sau khi bán xong họ định xóa bản sao của mình, thì tại sao GitHub lại không thể âm thầm mua lại trực tiếp thông qua một bên trung gian?