GitHub आंतरिक repositories में unauthorized access की जांच कर रहा है

 (twitter.com/github)
1 पॉइंट द्वारा GN⁺ 2 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • GitHub आंतरिक repositories पर unauthorized access की जांच कर रहा है, और अभी तक पुष्टि की गई सीमा आंतरिक repository access तक सीमित है
  • अभी तक ऐसा कोई सबूत नहीं है कि GitHub की आंतरिक repositories के बाहर संग्रहीत customer information प्रभावित हुई है
  • ग्राहकों के enterprises, organizations, repositories पर किसी प्रभाव की पुष्टि नहीं हुई है
  • GitHub आगे की गतिविधि की पहचान के लिए infrastructure की करीबी निगरानी कर रहा है
  • यदि कोई प्रभाव पाया जाता है, तो मौजूदा incident response and notification channels के माध्यम से ग्राहकों को सूचित किया जाएगा

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2 시간 전
Hacker News की राय

  • GitHub ने कहा कि “मौजूदा आकलन यह है कि सिर्फ GitHub के internal repositories लीक हुए हैं”, और हमलावर द्वारा दावा किए गए लगभग 3,800 repositories भी अब तक की जांच से मोटे तौर पर मेल खाते हैं
    यह डरावना है
    https://xcancel.com/github/status/2056949169701720157

  • पता नहीं इस तरह की security incident notice Twitter/X पर करना सही है या नहीं
    official blog या status page पर कुछ भी दिखाई नहीं दे रहा
    https://github.blog/
    https://www.githubstatus.com/

    • यह निश्चित रूप से उचित platform नहीं है
      अगर कहीं और official notice होती तो फिर भी कुछ हद तक समझ आता, लेकिन यह ऐसा भी लग सकता है कि शर्मिंदगी के कारण visibility कम रखी गई और सिर्फ तकनीकी तौर पर सूचना दी गई
      GitHub ने इसे सिर्फ X.com पर पोस्ट किया, जो usage के हिसाब से Pinterest से बस थोड़ा बेहतर है और Reddit, Snapchat, WeChat, Instagram से नीचे है
      ऊपर से profile और post देखने के लिए account चाहिए, और X अपने चरम राजनीतिक झुकाव के कारण एक विभाजनकारी platform है, यह अलग बात है
      इस मामले पर BlueSky, Facebook, TikTok, YouTube, LinkedIn, Mastodon पर भी पोस्ट नहीं किया गया और ईमेल भी नहीं भेजा गया
    • हालांकि tech enthusiasts के बीच यह बहुत लोकप्रिय messaging platform है
    • अगर ऐसी स्थिति हो जिसमें customers को action लेना पड़े, तो bulk email के बाद शायद यह सबसे बेहतर विकल्प हो सकता है
      status page उन reliability issues के लिए होता है जो end users को प्रभावित करते हैं, और blog ज़्यादा deep-dive analysis के लिए होता है

  • GitHub ने कहा कि वह “GitHub internal repositories के लिए unauthorized access” की जांच कर रहा है, और फिलहाल ऐसा कोई सबूत नहीं है कि internal repositories के बाहर संग्रहीत customer information, जैसे customers के enterprise, organization, repository, प्रभावित हुए हैं
    उन्होंने कहा कि किसी follow-up activity की मौजूदगी के लिए infrastructure की बारीकी से निगरानी की जा रही है

    • इससे Nixon का मशहूर “गलतियाँ हुई थीं” वाला अंदाज़ याद आता है
      “हैक हो गया” की तुलना में “unauthorized access की जांच चल रही है” सुनने में कहीं बेहतर लगता है

  • security issue से अलग, कंपनियों का इस तरह की सूचना के लिए X को ही official source की तरह आगे बढ़ाना मुझे पसंद नहीं है
    वजह समझ में आती है। यह अपेक्षाकृत हल्की सूचना है, और शायद status.github.com या blog पर डालने लायक नहीं लगती
    शायद status page और tweet के बीच कहीं, अपने ही domain के अंतर्गत कोई आधिकारिक temporary announcement channel गायब है

    • अगर यह ऐसा मामला हो जिसमें users को action लेना हो, तो मेरा समझना है कि customers को सीधे communication भेजा जाएगा

  • यह गंभीर है
    अगर बिना लंबी और विस्तृत व्याख्या के पहले इस तरह घोषणा की गई है, तो संभव है कि वे अभी भी ऐसे गड्ढे को देख रहे हों जिसकी गहराई का अंदाज़ा नहीं है और जिसका ढक्कन भी बंद नहीं कर पाए हैं
    Fortune 100 कंपनी के लिए निवेशकों को डराना वह तरीका है जिससे वह सबसे ज़्यादा बचना चाहेगी

    • लोगों को जल्दी बताना भी सही काम है, और कम-से-कम कुछ customer contracts में इसकी मांग होने की पूरी संभावना है
      सिर्फ कुछ खास customers को बताकर काम नहीं चल सकता। बात वैसे भी बाहर आ जाएगी

  • GitHub Actions को सुरक्षित करने के लिए समस्याएं ढूंढने में static analysis का इस्तेमाल करना चाहिए: https://github.com/zizmorcore/zizmor
    लोकल में pnpm config set minimum-release-age 4320 जैसी setting करके 3 दिन की देरी रखी जा सकती है: https://pnpm.io/supply-chain-security
    दूसरे package managers के लिए यहां देखें: https://gist.github.com/mcollina/b294a6c39ee700d24073c0e5a4e...
    CI में npm packages install करते समय Socket Free Firewall भी जोड़ा जा सकता है: https://docs.socket.dev/docs/socket-firewall-free#github-act...

    • GitHub Actions को मजबूत करने का एकमात्र तरीका है GitHub Actions का इस्तेमाल न करना
    • vscode/cursor extension में auto-update disable करना भी समझदारी हो सकती है
    • GHA में PR title और description को संभालते समय भी सावधान रहना चाहिए
      अगर उसमें text हो तो वह execute हो सकता है। यह GHA configuration पर निर्भर करता है, इसलिए “ज़रूर होगा” से ज़्यादा “हो सकता है” वाली बात है

  • GitHub के engineers और बाकी सभी लोगों के लिए यह दुखद है, और भले ही जो मिला है वह सीमित हो, फिर भी publicly inform करने का रवैया अच्छा है
    मेरा मानना है कि वे root cause ढूंढेंगे और नतीजे सार्वजनिक करेंगे ताकि सभी को इससे सीखने का मौका मिले

  • Twitter के बजाय यह लिंक: https://xcancel.com/github/status/2056884788179726685#m

    • सभी X links के लिए यही तरीका लगभग default होना चाहिए
      logged-out users के लिए X इतना शत्रुतापूर्ण website है कि वहां कुछ भी देख पाना मुश्किल है
      logged-in users के लिए भी वह अलग तरीकों से शत्रुतापूर्ण ही है

  • https://pbs.twimg.com/media/HItbXhvW4AAMD8W?format=jpg&name=...
    कहा जा रहा है कि सभी repositories कॉपी करके बेची जा रही हैं
    हमलावर को Shai-Hulud malware बनाने वाला TeamPCP बताया जा रहा है

    • अगर यह सच है, और बेचने के बाद वे अपनी copy नष्ट करने वाले हैं, तो GitHub किसी एजेंट के जरिए इसे सीधे वापस क्यों नहीं खरीद सकता?