Hôm thứ Ba, GitHub xác nhận rằng tin tặc đã truy cập trái phép vào các kho lưu trữ nội bộ của họ sau khi xâm nhập vào thiết bị của một nhân viên thông qua một tiện ích mở rộng Visual Studio Code bị nhiễm độc. Nền tảng thuộc sở hữu của Microsoft đã phát hiện và ngăn chặn sự xâm nhập, gỡ bỏ tiện ích mở rộng độc hại, cô lập thiết bị bị ảnh hưởng và bắt đầu xử lý sự cố ngay lập tức.
Công ty cho biết đánh giá hiện tại của họ là vụ xâm phạm chỉ liên quan đến việc đánh cắp dữ liệu từ các kho lưu trữ nội bộ của GitHub. Các kho lưu trữ của khách hàng, các tổ chức doanh nghiệp và dữ liệu người dùng được lưu trữ bên ngoài hệ thống nội bộ của GitHub được cho là không bị ảnh hưởng.
Quy mô của vụ vi phạm
GitHub đã xác nhận rằng tuyên bố của kẻ tấn công về khoảng 3.800 kho lưu trữ nội bộ phù hợp với kết quả điều tra của chính họ. Nhóm tội phạm mạng TeamPCP đã nhận trách nhiệm về vụ xâm phạm này và được cho là đang cố gắng bán bộ dữ liệu bị đánh cắp trên các diễn đàn tội phạm mạng ngầm với giá hơn 50.000 đô la. Nhóm này cáo buộc dữ liệu bao gồm mã nguồn nền tảng độc quyền và các tệp nội bộ của tổ chức từ khoảng 4.000 kho lưu trữ riêng tư.
GitHub cho biết họ đã nhanh chóng thực hiện việc thay đổi thông tin xác thực quan trọng sau khi phát hiện ra vụ xâm phạm, ưu tiên các thông tin bí mật có tác động lớn nhất trước. Công ty đang tiếp tục phân tích nhật ký, xác thực việc thay đổi thông tin bí mật và theo dõi các hoạt động tiếp theo.
Vì sao việc truy cập kho lưu trữ nội bộ lại nghiêm trọng
Công ty cho biết họ không có bằng chứng về việc thông tin khách hàng được lưu trữ bên ngoài các kho lưu trữ nội bộ bị ảnh hưởng. Các nhà nghiên cứu bảo mật lưu ý rằng cách diễn đạt cụ thể rất quan trọng. Việc không có bằng chứng về ảnh hưởng không có nghĩa là dữ liệu khách hàng được an toàn. Điều đó có nghĩa là cuộc điều tra vẫn đang tiếp diễn và phạm vi ảnh hưởng đầy đủ vẫn chưa được xác định.
Các kho lưu trữ nội bộ thường chứa cấu hình cơ sở hạ tầng, kịch bản triển khai, tài liệu API nội bộ, thông tin đăng nhập môi trường thử nghiệm, cờ tính năng, các hook giám sát và các dịch vụ không được ghi chép lại. Việc truy cập vào mã nguồn nội bộ cung cấp một bản thiết kế kiến trúc tổng thể của toàn bộ hệ thống, ngay cả khi không có quyền truy cập trực tiếp vào dữ liệu khách hàng.
Các chuyên gia bảo mật cũng nhấn mạnh tầm quan trọng của việc GitHub đề cập rõ ràng đến việc giám sát các hoạt động tiếp theo. Các cuộc tấn công hiện đại hiếm khi dừng lại ở giai đoạn truy cập ban đầu. Quá trình tấn công thường bắt đầu từ việc chiếm được chỗ đứng ban đầu, sau đó là trinh sát, leo thang đặc quyền, duy trì quyền truy cập, và cuối cùng là làn sóng tấn công có mục tiêu thứ hai sau khi các nhà phòng thủ tin rằng mối đe dọa đã được kiểm soát.
GitHub đang làm gì?
GitHub cho biết các thông tin bí mật quan trọng đã được thay đổi ngay trong ngày phát hiện vi phạm, với các thông tin đăng nhập nhạy cảm nhất được xử lý trước. Công ty đang tiếp tục giám sát cơ sở hạ tầng để phát hiện bất kỳ hoạt động thứ cấp nào và sẽ công bố báo cáo sự cố đầy đủ hơn sau khi cuộc điều tra hoàn tất. Khách hàng sẽ được thông báo thông qua các kênh phản hồi sự cố đã thiết lập nếu phát hiện bất kỳ ảnh hưởng nào đến dữ liệu của họ.
Các nhà phát triển sử dụng GitHub được khuyến cáo nên xem xét và thay đổi thường xuyên bất kỳ khóa API nào được lưu trữ trong kho lưu trữ như một biện pháp phòng ngừa, ngay cả khi các kho lưu trữ của khách hàng không được cho là bị ảnh hưởng trực tiếp.
