GitHub, GitLab und Bitbucket erklären den Repository-Hack

In einem gemeinsamen Statement sagen die drei Firmen was vorfiel und geben Security-Tipps, die es in sich haben.
 
Bei Github, Gitlab und Bitbucket sollen bei einem koordinierten Angriff mehr als 1000 Repositories geklaut worden sein, hiess es vor einigen Tagen. Die Bestohlenen hätten eine Lösegeldforderung erhalten. Nun ist das einigermassen peinlich für alle, aber könnte ebenso bedrohlich sein.
 
Darauf reagieren nun Atlassian Bitbucket, GitHub und GitLab in einem gemeinsamen Statement. "Es gibt keine Hinweise darauf, dass Atlassian Bitbucket-, GitHub- oder GitLab-Produkte in irgendeiner Weise kompromittiert wurden", halten die drei Platzhirsche gleich einleitend fest. Man sei aber zuversichtlich, die Hintergründe der Attacke verstanden zu haben.
 
Nun wird's interessant: "Bei sofortigen unabhängigen Untersuchungen stellten alle drei Unternehmen fest, dass Benutzerkonten mit legitimen Anmeldeinformationen wie Passwörtern, App-Passwörtern, API-Schlüsseln und persönlichen Zugriffstoken kompromittiert wurden."
 
In der Folge überschrieben die Angreifer, vermutlich automatisiert, die Inhalte. Der Blogpost liefert noch einige Details zum Angriff und wie man als Opfer seine Daten wiederherstellt.
 
Zur Information und Sensibilisierung aller GitHub-, GitLab- und Bitbucket-User gibt es kostenlose Pro-Tipps, die wir hier gerne ebenso kostenlos weitergeben:
  1. Tipp: "Aktivieren Sie die Multi-Faktor-Authentifizierung auf der Software-Entwicklungsplattform Ihrer Wahl."
  2. Tipp: "Verwenden Sie für jeden Dienst sichere und einzigartige Passwörter."
  3. Tipp: "Verwenden Sie einen Passwort-Manager (falls von Ihrer Organisation genehmigt), um dies zu vereinfachen."
  4. Tipp (Advanced IT-Know-how nötig): "Machen Sie keine .git-Verzeichnisse und .git / config-Dateien mit Anmeldeinformationen oder Tokens in öffentlichen Repositorys oder auf Webservern verfügbar."
Der Blogpost formuliert, dass dieses vertiefte Security-Wissen gerade für IT-Fachkräfte bedeutsam sei: "Wir glauben, dass es wichtig ist, der Softwareentwickler-Community zu helfen, die Bedrohung besser zu verstehen und gemeinsam Massnahmen zum Schutz davor zu ergreifen." Wir wünschen den Usern an dieser Stelle "toi toi toi". (mag)