ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > GitHub ಮೇಲಿನ ದಾಳಿಯು ಖಾಸಗಿ ರೆಪೊಸಿಟರಿಗಳ ಸೋರಿಕೆಗೆ ಮತ್ತು NPM ಮೂಲಸೌಕರ್ಯಕ್ಕೆ ಪ್ರವೇಶಕ್ಕೆ ಕಾರಣವಾಯಿತು

GitHub ಮೇಲಿನ ದಾಳಿಯು ಖಾಸಗಿ ರೆಪೊಸಿಟರಿಗಳ ಸೋರಿಕೆಗೆ ಮತ್ತು NPM ಮೂಲಸೌಕರ್ಯಕ್ಕೆ ಪ್ರವೇಶಕ್ಕೆ ಕಾರಣವಾಯಿತು

Heroku ಮತ್ತು Travis-CI ಸೇವೆಗಳಿಗಾಗಿ ರಚಿಸಲಾದ ರಾಜಿ OAuth ಟೋಕನ್‌ಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಖಾಸಗಿ ರೆಪೊಸಿಟರಿಗಳಿಂದ ಡೇಟಾವನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡುವ ಗುರಿಯನ್ನು ಹೊಂದಿರುವ ದಾಳಿಯ ಬಳಕೆದಾರರಿಗೆ GitHub ಎಚ್ಚರಿಸಿದೆ. ದಾಳಿಯ ಸಮಯದಲ್ಲಿ, ಕೆಲವು ಸಂಸ್ಥೆಗಳ ಖಾಸಗಿ ರೆಪೊಸಿಟರಿಗಳಿಂದ ಡೇಟಾ ಸೋರಿಕೆಯಾಗಿದೆ ಎಂದು ವರದಿಯಾಗಿದೆ, ಇದು Heroku PaaS ಪ್ಲಾಟ್‌ಫಾರ್ಮ್ ಮತ್ತು ಟ್ರಾವಿಸ್-ಸಿಐ ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆಗಾಗಿ ರೆಪೊಸಿಟರಿಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ತೆರೆಯಿತು. ಬಲಿಪಶುಗಳಲ್ಲಿ GitHub ಮತ್ತು NPM ಯೋಜನೆಯೂ ಸೇರಿದೆ.

ದಾಳಿಕೋರರು ಖಾಸಗಿ GitHub ರೆಪೊಸಿಟರಿಗಳಿಂದ ಅಮೆಜಾನ್ ವೆಬ್ ಸೇವೆಗಳ API ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಕೀಲಿಯನ್ನು ಹೊರತೆಗೆಯಲು ಸಮರ್ಥರಾಗಿದ್ದಾರೆ, ಇದನ್ನು NPM ಯೋಜನೆಯ ಮೂಲಸೌಕರ್ಯದಲ್ಲಿ ಬಳಸಲಾಗಿದೆ. ಪರಿಣಾಮವಾಗಿ ಕೀಲಿಯು AWS S3 ಸೇವೆಯಲ್ಲಿ ಸಂಗ್ರಹವಾಗಿರುವ NPM ಪ್ಯಾಕೇಜ್‌ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಅನುಮತಿಸಿದೆ. NPM ರೆಪೊಸಿಟರಿಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆದರೂ, ಅದು ಪ್ಯಾಕೇಜುಗಳನ್ನು ಮಾರ್ಪಡಿಸಲಿಲ್ಲ ಅಥವಾ ಬಳಕೆದಾರರ ಖಾತೆಗಳೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಡೇಟಾವನ್ನು ಪಡೆಯಲಿಲ್ಲ ಎಂದು GitHub ನಂಬುತ್ತದೆ. GitHub.com ಮತ್ತು NPM ಮೂಲಸೌಕರ್ಯಗಳು ಪ್ರತ್ಯೇಕವಾಗಿರುವುದರಿಂದ, ಸಮಸ್ಯಾತ್ಮಕ ಟೋಕನ್‌ಗಳನ್ನು ನಿರ್ಬಂಧಿಸುವ ಮೊದಲು NPM ಗೆ ಸಂಬಂಧಿಸದ ಆಂತರಿಕ GitHub ರೆಪೊಸಿಟರಿಗಳ ವಿಷಯಗಳನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಆಕ್ರಮಣಕಾರರಿಗೆ ಸಮಯವಿರಲಿಲ್ಲ ಎಂದು ಸಹ ಗಮನಿಸಲಾಗಿದೆ.

ದಾಳಿಕೋರರು AWS API ಗೆ ಕೀಲಿಯನ್ನು ಬಳಸಲು ಪ್ರಯತ್ನಿಸಿದ ನಂತರ ದಾಳಿಯನ್ನು ಏಪ್ರಿಲ್ 12 ರಂದು ಪತ್ತೆಹಚ್ಚಲಾಯಿತು. ನಂತರ, ಕೆಲವು ಇತರ ಸಂಸ್ಥೆಗಳ ಮೇಲೆ ಇದೇ ರೀತಿಯ ದಾಳಿಗಳನ್ನು ದಾಖಲಿಸಲಾಯಿತು, ಅದು ಹೆರೋಕು ಮತ್ತು ಟ್ರಾವಿಸ್-ಸಿಐ ಅಪ್ಲಿಕೇಶನ್ ಟೋಕನ್‌ಗಳನ್ನು ಸಹ ಬಳಸಿತು. ಪೀಡಿತ ಸಂಸ್ಥೆಗಳನ್ನು ಹೆಸರಿಸಲಾಗಿಲ್ಲ, ಆದರೆ ದಾಳಿಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿರುವ ಎಲ್ಲಾ ಬಳಕೆದಾರರಿಗೆ ವೈಯಕ್ತಿಕ ಅಧಿಸೂಚನೆಗಳನ್ನು ಕಳುಹಿಸಲಾಗಿದೆ. Heroku ಮತ್ತು Travis-CI ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಬಳಕೆದಾರರಿಗೆ ಭದ್ರತೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಮತ್ತು ವೈಪರೀತ್ಯಗಳು ಮತ್ತು ಅಸಾಮಾನ್ಯ ಚಟುವಟಿಕೆಯನ್ನು ಗುರುತಿಸಲು ಲಾಗ್‌ಗಳನ್ನು ಆಡಿಟ್ ಮಾಡಲು ಪ್ರೋತ್ಸಾಹಿಸಲಾಗುತ್ತದೆ.

ಟೋಕನ್‌ಗಳು ಆಕ್ರಮಣಕಾರರ ಕೈಗೆ ಹೇಗೆ ಬಿದ್ದವು ಎಂಬುದು ಇನ್ನೂ ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ, ಆದರೆ ಕಂಪನಿಯ ಮೂಲಸೌಕರ್ಯದ ರಾಜಿಯಿಂದಾಗಿ ಅವುಗಳನ್ನು ಪಡೆಯಲಾಗಿಲ್ಲ ಎಂದು GitHub ನಂಬುತ್ತದೆ, ಏಕೆಂದರೆ ಬಾಹ್ಯ ವ್ಯವಸ್ಥೆಗಳಿಂದ ಪ್ರವೇಶವನ್ನು ಅಧಿಕೃತಗೊಳಿಸುವ ಟೋಕನ್‌ಗಳನ್ನು GitHub ಬದಿಯಲ್ಲಿ ಸಂಗ್ರಹಿಸಲಾಗಿಲ್ಲ. ಬಳಕೆಗೆ ಸೂಕ್ತವಾದ ಮೂಲ ರೂಪದಲ್ಲಿ. ಆಕ್ರಮಣಕಾರರ ನಡವಳಿಕೆಯ ವಿಶ್ಲೇಷಣೆಯು ಖಾಸಗಿ ರೆಪೊಸಿಟರಿಗಳ ವಿಷಯಗಳನ್ನು ಡೌನ್‌ಲೋಡ್ ಮಾಡುವ ಮುಖ್ಯ ಉದ್ದೇಶವು ಮೂಲಸೌಕರ್ಯದ ಇತರ ಅಂಶಗಳ ಮೇಲಿನ ದಾಳಿಯನ್ನು ಮುಂದುವರಿಸಲು ಬಳಸಬಹುದಾದ ಪ್ರವೇಶ ಕೀಗಳಂತಹ ಗೌಪ್ಯ ಡೇಟಾದ ಉಪಸ್ಥಿತಿಯನ್ನು ವಿಶ್ಲೇಷಿಸುವುದು ಎಂದು ತೋರಿಸಿದೆ. .

ಮೂಲ: opennet.ru

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ