GitHub sedang menyelidiki akses tidak sah ke repositori internal

 (twitter.com/github)
1 poin oleh GN⁺ 2 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • GitHub sedang menyelidiki akses tidak sah ke repositori internal, dan cakupan yang saat ini terkonfirmasi adalah akses ke repositori internal
  • Hingga saat ini, tidak ada bukti bahwa informasi pelanggan yang disimpan di luar repositori internal GitHub terdampak
  • Tidak ditemukan dampak pada enterprises, organizations, atau repositories milik pelanggan
  • GitHub sedang memantau infrastruktur dengan cermat untuk mengidentifikasi aktivitas lanjutan
  • Jika ditemukan dampak, pelanggan akan diberi tahu melalui saluran respons insiden dan notifikasi yang sudah ada

Bacaan terkait

1 komentar

 
GN⁺ 2 jam lalu
Opini Hacker News

  • GitHub menyatakan bahwa “penilaian saat ini adalah hanya repositori internal GitHub yang bocor”, dan klaim penyerang soal sekitar 3.800 repositori juga sejauh ini secara umum sesuai dengan hasil penyelidikan
    Ngeri
    https://xcancel.com/github/status/2056949169701720157

  • Saya tidak yakin apakah tepat mengumumkan insiden keamanan seperti ini lewat Twitter/X
    Tidak ada apa pun di blog resmi atau halaman status
    https://github.blog/
    https://www.githubstatus.com/

    • Jelas ini bukan platform yang tepat
      Kalau ada pengumuman resmi di tempat lain, saya masih bisa mengerti, tetapi ini juga terlihat seperti mereka menurunkan visibilitas karena malu dan hanya mengumumkannya secara teknis
      GitHub memposting ini hanya di X.com, yang dari sisi penggunaan cuma sedikit lebih baik daripada Pinterest, dan di bawah Reddit, Snapchat, WeChat, serta Instagram
      Selain itu, akun diperlukan untuk melihat profil dan postingan, terlepas dari fakta bahwa X adalah platform yang memecah belah karena kecenderungan politiknya yang ekstrem
      Mereka juga tidak memposting soal ini di BlueSky, Facebook, TikTok, YouTube, LinkedIn, atau Mastodon, dan juga tidak mengirim email
    • Memang ini platform pesan yang sangat populer di kalangan penggemar teknologi
    • Jika pelanggan perlu mengambil tindakan, mungkin ini pilihan terbaik setelah email massal
      Halaman status itu untuk masalah keandalan yang berdampak pada pengguna akhir, sedangkan blog lebih cocok untuk analisis mendalam

  • GitHub mengatakan sedang menyelidiki akses tanpa izin ke repositori internal GitHub, dan untuk saat ini belum ada bukti bahwa informasi pelanggan yang disimpan di luar repositori internal, seperti enterprise, organisasi, atau repositori pelanggan, terdampak
    Mereka juga mengatakan sedang memantau infrastruktur secara ketat untuk melihat apakah ada aktivitas lanjutan

    • Mengingatkan pada ungkapan terkenal Nixon tentang “ada kesalahan yang terjadi”
      “Sedang menyelidiki akses tanpa izin” terdengar jauh lebih enak daripada “kami diretas”

  • Terlepas dari isu keamanannya, saya kurang suka tren makin banyak perusahaan yang mendorong X sebagai satu-satunya sumber resmi untuk pengumuman seperti ini
    Saya paham alasannya. Ini terasa terlalu ringan untuk dipasang di status.github.com atau blog
    Mungkin yang kurang adalah kanal pengumuman sementara yang resmi, di bawah domain mereka sendiri, di suatu tempat di antara halaman status dan tweet

    • Kalau pengguna memang perlu bertindak, saya paham mereka akan mengirim komunikasi langsung ke pelanggan

  • Ini serius
    Jika mereka mengumumkannya lebih dulu seperti ini tanpa penjelasan panjang dan rinci, kemungkinan besar artinya mereka sedang melihat lubang yang dasarnya belum kelihatan dan bahkan belum bisa ditutup
    Perusahaan Fortune 100 sangat ingin menghindari cara yang bisa menakuti investor seperti ini

    • Memberi tahu orang lebih cepat juga adalah hal yang benar, dan kemungkinan diwajibkan dalam setidaknya sebagian kontrak pelanggan
      Mereka juga tidak bisa hanya memberi tahu pelanggan tertentu saja. Toh pada akhirnya akan bocor juga

  • Untuk mengamankan GitHub Actions, Anda perlu memakai analisis statis untuk menemukan masalah: https://github.com/zizmorcore/zizmor
    Di lokal, Anda bisa mengatur penundaan 3 hari dengan konfigurasi seperti pnpm config set minimum-release-age 4320: https://pnpm.io/supply-chain-security
    Untuk package manager lain, lihat di sini: https://gist.github.com/mcollina/b294a6c39ee700d24073c0e5a4e...
    Saat memasang paket npm di CI, Anda juga bisa menambahkan Socket Free Firewall: https://docs.socket.dev/docs/socket-firewall-free#github-act...

    • Satu-satunya cara untuk benar-benar mengeraskan GitHub Actions adalah dengan tidak memakai GitHub Actions
    • Menonaktifkan pembaruan otomatis untuk ekstensi vscode/cursor juga masuk akal
    • Berhati-hatilah juga saat menangani judul dan deskripsi PR di GHA
      Jika ada text di sana, itu bisa saja dieksekusi. Tergantung konfigurasi GHA, jadi lebih dekat ke “bisa terjadi” daripada “pasti”

  • Ini kabar yang menyedihkan bagi para engineer GitHub dan semua pihak, dan meskipun temuan yang ada terbatas, sikap untuk memberi tahu secara terbuka itu bagus
    Saya rasa mereka akan menemukan akar penyebabnya dan mempublikasikan hasilnya agar semua orang bisa belajar

  • Tautan non-Twitter: https://xcancel.com/github/status/2056884788179726685#m

    • Semua tautan X pada dasarnya memang seharusnya memakai cara ini sebagai default
      Bagi pengguna yang tidak login, X adalah situs yang begitu tidak ramah sampai-sampai Anda hampir tidak bisa melihat apa pun
      Bagi pengguna yang login pun, ia tetap tidak ramah dengan cara lain

  • https://pbs.twimg.com/media/HItbXhvW4AAMD8W?format=jpg&name=...
    Katanya semua repositori telah disalin dan sedang dijual
    Penyerangnya disebut TeamPCP, pembuat malware Shai-Hulud

    • Jika itu benar dan mereka memang berniat memusnahkan salinan mereka setelah penjualan, mengapa GitHub tidak membeli sendiri lewat perantara?