Microsoft bünyesindeki GitHub, 20 Mayıs’ta iç cüzdan depolarına yetkisiz erişim içeren bir güvenlik ihlaliyle ilgili detayları açıkladı. Şirket, bir çalışanın cihazında zararlı bir VS Code eklentisi tespit ederek bu eklentinin ilgili sürümünü kaldırdı, uç noktayı izole etti ve olay müdahalesine başladı. İlk incelemelere göre, yalnızca GitHub’ın kendi iç depoları etkilendi; müşteri verileri, kurumlar, organizasyonlar veya kripto projelerine ait depolar güvende. Ayrıca, saldırganın iddialarıyla uyumlu şekilde toplam 3.800 deponun etkilendiği belirtildi. Kritik gizli anahtarlar öncelikli olarak döndürüldü ve en yüksek etkiye sahip kimlik bilgileri ilk sırada ele alındı. GitHub, günlükleri analiz etmeye, gizli anahtar döndürme işlemlerini doğrulamaya ve olası ek aktiviteleri izlemeye devam edecek. Soruşturma tamamlandığında olayla ilgili kapsamlı bir rapor yayımlanacak.
Binance kurucusu Changpeng “CZ” Zhao, kripto geliştiricilerine kodlarında ve özel depolarında saklanan API anahtarlarını derhal döndürmeleri çağrısında bulundu. Zhao, kripto piyasasında Drift Protocol ve KelpDAO gibi son dönemde yaşanan büyük saldırılara dikkat çekerek, API anahtarlarının mutlaka kontrol edilip değiştirilmesi gerektiğini vurguladı. Bu uyarı, GitHub’ın iç depolarına yetkisiz erişimi doğrulamasının ve soruşturma başlatmasının ardından geldi. Platform, GitHub’ın iç depoları dışında saklanan müşteri bilgilerinin etkilendiğine dair herhangi bir kanıt bulunmadığını belirtti.
Kripto geliştiricileri, açık kaynaklı veya özel geliştirme süreçlerinde GitHub’ı yoğun şekilde kullanıyor; borsa API anahtarları, cüzdan kimlik bilgileri ve altyapı token’ları gibi hassas veriler, botlar, alım-satım script’leri, merkeziyetsiz finans protokolleri ve blok zinciri araçlarında kolaylık sağlamak amacıyla depolarda tutuluyor. TeamPCP adlı bir tehdit grubunun, yaklaşık 4.000 GitHub iç deposundan elde edilen verileri en az 50.000 dolar karşılığında satmaya çalıştığı bildirildi. Kripto güvenlik uzmanları, geliştiricilere tüm anahtarları döndürmelerini, GitHub Secret Scanning, gitleaks veya Trivy gibi araçlarla kodlarda gömülü gizli anahtarları taramalarını ve anahtarları kodda saklamaktan tamamen vazgeçmelerini tavsiye ediyor.
GitHub, iç depolarına yönelik yetkisiz erişimi araştırmayı sürdürüyor. Lovable, Replit, Bolt gibi platformlarda çalışan geliştiricilerin doğrudan etkilenmediği, olayın GitHub’ın kendi iç depolarıyla sınırlı olduğu belirtiliyor. Yine de, güvenlik açısından kontrollerin yapılmasında fayda var.
Bu içerik hazırlanırken faydalanılan kaynaklar: coingape.com
