GitHub、内部リポジトリへの不正アクセスを調査中

 (twitter.com/github)
1 ポイント 投稿者 GN⁺ 2 시간 전 | 1件のコメント | WhatsAppで共有
  • GitHub は、内部リポジトリに対する 不正アクセス を調査中であり、現時点で確認されている範囲は内部リポジトリへのアクセスに限られる
  • 現時点では、GitHub の内部リポジトリ外に保存された 顧客情報 に影響があったことを示す証拠はない
  • 顧客の enterprises、organizations、repositories への影響は確認されていない
  • GitHub は後続の活動を確認するため、インフラ を綿密に監視している
  • 影響が見つかった場合は、既存の インシデント対応および通知チャネル を通じて顧客に通知する予定

関連記事

1件のコメント

 
GN⁺ 2 시간 전
Hacker Newsの反応

  • GitHubは、「現時点の評価では漏えいしたのはGitHub内部リポジトリのみ」であり、攻撃者が主張する約3,800件のリポジトリについても、これまでの調査結果とおおむね一致すると述べた
    ぞっとする
    https://xcancel.com/github/status/2056949169701720157

  • こうしたセキュリティインシデントの告知をTwitter/Xで行うのが適切なのか疑問
    公式ブログやステータスページには何も見当たらない
    https://github.blog/
    https://www.githubstatus.com/

    • 確かに適切なプラットフォームではない
      ほかの場所に公式告知があったならまだ理解できるが、恥ずかしさから可視性を下げ、技術的にだけ告知したようにも見える
      GitHubはこれをX.comにしか投稿しておらず、利用者数ベースではPinterestより少しましな程度で、Reddit、Snapchat、WeChat、Instagramより低い
      しかもプロフィールや投稿を見るにはアカウントが必要で、Xが極端な政治的傾向ゆえに分断的なプラットフォームである点は別問題としてある
      この件についてBlueSky、Facebook、TikTok、YouTube、LinkedIn、Mastodonにも投稿しておらず、メールも送っていない
    • 技術好きにとっては非常に人気のあるメッセージングプラットフォームではある
    • 顧客が対応を取る必要がある状況なら、一斉メールの次くらいにはおそらく最善の選択かもしれない
      ステータスページはエンドユーザーに影響する信頼性の問題向けで、ブログは詳細な分析向けに近い

  • GitHubは、「GitHub内部リポジトリへの不正アクセスを調査中」であり、現時点では顧客のエンタープライズ・組織・リポジトリのような、内部リポジトリ外に保存された顧客情報への影響を示す証拠はないと述べている
    追加の活動があるかどうか、インフラを綿密に監視しているという

    • ニクソンの有名な「過ちがあった」を思い出す言い回しだ
      「ハッキングされた」よりも「不正アクセスを調査中」のほうがずっと聞こえがいい

  • セキュリティ問題とは別に、こうした告知でXだけを公式ソースとして押し出す企業が増えている流れはあまり好きではない
    理由は理解できる。これは軽量で、status.github.comやブログに載せる性質のものではないようにも感じる
    もしかすると、ステータスページとツイートの中間あたりに、自社ドメイン配下の公式な一時的告知チャネルが欠けているのかもしれない

    • ユーザーの対応が必要な件なら、顧客に直接連絡を送るだろうと理解している

  • これは深刻だ
    長く詳細な説明なしにまずこう発表したのなら、まだ底の見えない穴を前にしていて、ふたも閉められていない状態だという意味である可能性が高い
    Fortune 100企業がわざわざ投資家を怖がらせるのは、最も避けたい行動のはずだ

    • 人々に早く知らせるのも正しいことで、少なくとも一部の顧客契約では求められる可能性が高い
      特定の顧客だけに知らせることもできない。どうせ漏れるのだから

  • GitHub Actionsのセキュリティを確保するには、静的解析を使って問題を見つける必要がある: https://github.com/zizmorcore/zizmor
    ローカルでは pnpm config set minimum-release-age 4320 のように設定して3日間の遅延を設けられる: https://pnpm.io/supply-chain-security
    ほかのパッケージマネージャーについてはこちら: https://gist.github.com/mcollina/b294a6c39ee700d24073c0e5a4e...
    CIでnpmパッケージをインストールする際には、Socket Free Firewallを追加することもできる: https://docs.socket.dev/docs/socket-firewall-free#github-act...

    • GitHub Actionsを堅牢化する唯一の方法は、GitHub Actionsを使わないことだ
    • vscode/cursor拡張の自動更新を無効化するのも理にかなっている
    • GHAでPRタイトルや説明を扱うときも注意が必要だ
      そこに text が入っていると実行される可能性がある。GHAの設定次第で、「必ず」ではなく「あり得る」に近い

  • GitHubのエンジニアたちと関係者全員にとってつらい出来事だが、たとえ判明した内容が限定的でも、公に知らせる姿勢は良いと思う
    根本原因を突き止め、結果を公開して、皆の学びになるようにしてくれるだろう

  • Twitterではないリンク: https://xcancel.com/github/status/2056884788179726685#m

    • すべてのXリンクは、実質的にこの形式がデフォルトであるべきだ
      ログインしていないユーザーにとって、Xは何も見られないほど敵対的なウェブサイトだ
      ログインしているユーザーに対しても、別の意味で敵対的ではある

  • https://pbs.twimg.com/media/HItbXhvW4AAMD8W?format=jpg&name=...
    すべてのリポジトリがコピーされ、販売されているという
    攻撃者はShai-Huludマルウェアを作成したTeamPCPだという

    • それが事実で、販売後に自分たちのコピーを破棄するつもりなら、GitHubが代理人を通じて直接買い戻せない理由は何だろう?