代码托管平台GitHub确认遭遇数据泄露事件,黑客窃取了其数千个内部代码库的数据。GitHub官方表示,安全团队已介入调查,目前没有证据表明客户的私有代码库和敏感信息遭到窃取。
据外媒报道,此次事件中被盗的内部代码库数量超过3000个。这些库主要存储GitHub内部使用的工具、配置文件和基础设施代码,并不包含客户托管的项目源码。GitHub在发给员工和外部合作方的通知中强调,内部系统与客户数据存储系统之间实施了严格的网络隔离,攻击者未能突破这层防线。
凭证泄露成突破口
关于黑客的入侵路径,GitHub尚未公布详细的技术细节。但据安全媒体分析,攻击者极有可能利用了泄露的OAuth访问令牌。OAuth令牌就像是进入大楼的临时门禁卡,第三方应用凭借此卡可以无需密码直接访问用户的GitHub数据。一旦这些令牌被窃取或意外公开,攻击者就能绕过常规的身份验证机制。
这种攻击手法在GitHub平台上并非首次出现。2022年4月,GitHub就曾披露过一起类似事件,攻击者利用第三方CI/CD平台Heroku和Travis CI泄露的OAuth令牌,非法访问了数十个组织的数据。当时,攻击者下载了多家企业的私有代码库,并窃取了其中包含的云服务密钥。
在最新的这起事件中,攻击者同样是通过某种方式获取了内部集成的授权凭证,进而批量下载了内部库的代码。GitHub安全团队在发现异常访问行为后,迅速切断了相关授权,并撤销了可能被滥用的令牌。
内外网隔离生效
GitHub之所以能在事件发生后迅速确认客户数据的安全,得益于其长期执行的内外网隔离机制。作为全球最大的代码托管平台,GitHub目前托管着超过3.72亿个代码库,任何涉及客户数据的泄露都会引发严重的信任危机。
在GitHub的权限架构中,内部员工访问生产环境的权限受到极大约束。内部代码库与托管客户代码的存储系统在物理和逻辑上均进行了分离。这意味着,即便攻击者完全控制了部分内部代码库,也无法以此为跳板横向移动至客户数据所在的存储集群。
数据显示,GitHub在2018年被微软以75亿美元收购后,持续加大了安全基础设施的投入。除了常规的漏洞悬赏计划,平台还引入了更严格的分支保护规则和密钥扫描功能。当开发者在公共库中意外提交API密钥或访问凭证时,系统会自动发出警报并通知相关服务商。
供应链安全警钟
此次事件再次暴露了软件开发供应链的脆弱性。代码库中往往包含云服务密钥、数据库连接串等核心资产,一旦这些信息落入攻击者手中,下游的云基础设施将直接面临失守风险。
对于企业和开发者而言,平台级的安全防护只是第一道防线。安全研究人员建议,开发者应定期审查已授权的第三方OAuth应用,移除不再使用的集成权限;对于内部代码库,应强制启用双因素认证(2FA),并严格限制具有管理员权限的账号数量。此外,任何硬编码在源代码中的密钥都应替换为环境变量或专用的密钥管理服务。
目前,GitHub的内部调查仍在进行中。该平台表示,若后续排查发现任何客户数据受影响的迹象,将第一时间通知相关组织。