GitHub hujum tahlili natijalarini e'lon qildi, natijada 12 aprel kuni tajovuzkorlar NPM loyihasi infratuzilmasida foydalaniladigan Amazon AWS xizmatidagi bulutli muhitlarga kirish huquqiga ega bo'ldi. Voqea tahlili shuni ko'rsatdiki, tajovuzkorlar skindb.npmjs.com xostining zahira nusxalariga, shu jumladan 100 yil holatiga ko'ra 2015 ming NPM foydalanuvchisi uchun hisob ma'lumotlari bilan ma'lumotlar bazasi zahira nusxasiga, shu jumladan parol xeshlari, nomlar va elektron pochta manzillariga kirish huquqiga ega bo'lishgan.
Parol xeshlari tuzlangan PBKDF2 yoki SHA1 algoritmlari yordamida yaratilgan bo'lib, ular 2017 yilda kuchga chidamliroq bcrypt bilan almashtirilgan. Voqea aniqlangandan so'ng, ta'sirlangan parollar qayta tiklandi va foydalanuvchilarga yangi parol o'rnatish haqida xabar berildi. 1-martdan boshlab elektron pochta orqali tasdiqlash bilan majburiy ikki faktorli tekshirish NPMga kiritilganligi sababli, foydalanuvchining murosaga kelish xavfi ahamiyatsiz deb baholanmoqda.
Bundan tashqari, 2021-yil aprel holatiga koʻra shaxsiy paketlarning barcha manifest fayllari va metamaʼlumotlari, shaxsiy paketlarning barcha nomlari va versiyalarining soʻnggi roʻyxatiga ega CSV fayllari, shuningdek, ikkita GitHub mijozining barcha shaxsiy paketlari mazmuni (nomlari) oshkor etilmagan) hujumchilar qo'liga tushgan. Repozitariyning o'ziga kelsak, izlarni tahlil qilish va paket xeshlarini tekshirish NPM paketlariga o'zgartirishlar kiritgan yoki paketlarning soxta yangi versiyalarini nashr etgan tajovuzkorlarni aniqlamadi.
Hujum 12 aprel kuni ikkita uchinchi tomon GitHub integratorlari, Heroku va Travis-CI uchun yaratilgan o‘g‘irlangan OAuth tokenlaridan foydalangan holda amalga oshirildi. Tokenlardan foydalangan holda, tajovuzkorlar GitHub shaxsiy omborlaridan NPM loyihasi infratuzilmasida foydalaniladigan Amazon Web Services API’ga kirish uchun kalitni chiqarib olishdi. Olingan kalit AWS S3 xizmatida saqlangan ma'lumotlarga kirish imkonini berdi.
Bundan tashqari, NPM serverlarida foydalanuvchi ma'lumotlarini qayta ishlashda ilgari aniqlangan jiddiy maxfiylik muammolari haqida ma'lumotlar oshkor qilindi - ba'zi NPM foydalanuvchilarining parollari, shuningdek, NPM kirish tokenlari ichki jurnallarda aniq matnda saqlangan. NPMni GitHub jurnali tizimi bilan integratsiyalashganda, ishlab chiquvchilar jurnalga joylashtirilgan NPM xizmatlariga so'rovlardan maxfiy ma'lumotlar olib tashlanishini ta'minlamadilar. Ta’kidlanishicha, NPMga hujum qilishdan oldin nuqson bartaraf etilgan va jurnallar tozalangan. Faqat ba'zi GitHub xodimlari umumiy parollarni o'z ichiga olgan jurnallarga kirish huquqiga ega edi.
Manba: opennet.ru