GitHub, GitLab und Bitbucket erklären den Repository-Hack

15. Mai 2019, 09:18
  • security
  • github
  • cyberangriff
image

In einem gemeinsamen Statement sagen die drei Firmen was vorfiel und geben Security-Tipps, die es in sich haben.

In einem gemeinsamen Statement sagen die drei Firmen was vorfiel und geben Security-Tipps, die es in sich haben.
Bei Github, Gitlab und Bitbucket sollen bei einem koordinierten Angriff mehr als 1000 Repositories geklaut worden sein, hiess es vor einigen Tagen. Die Bestohlenen hätten eine Lösegeldforderung erhalten. Nun ist das einigermassen peinlich für alle, aber könnte ebenso bedrohlich sein.
Darauf reagieren nun Atlassian Bitbucket, GitHub und GitLab in einem gemeinsamen Statement. "Es gibt keine Hinweise darauf, dass Atlassian Bitbucket-, GitHub- oder GitLab-Produkte in irgendeiner Weise kompromittiert wurden", halten die drei Platzhirsche gleich einleitend fest. Man sei aber zuversichtlich, die Hintergründe der Attacke verstanden zu haben.
Nun wird's interessant: "Bei sofortigen unabhängigen Untersuchungen stellten alle drei Unternehmen fest, dass Benutzerkonten mit legitimen Anmeldeinformationen wie Passwörtern, App-Passwörtern, API-Schlüsseln und persönlichen Zugriffstoken kompromittiert wurden."
In der Folge überschrieben die Angreifer, vermutlich automatisiert, die Inhalte. Der Blogpost liefert noch einige Details zum Angriff und wie man als Opfer seine Daten wiederherstellt.
Zur Information und Sensibilisierung aller GitHub-, GitLab- und Bitbucket-User gibt es kostenlose Pro-Tipps, die wir hier gerne ebenso kostenlos weitergeben:
  1. Tipp: "Aktivieren Sie die Multi-Faktor-Authentifizierung auf der Software-Entwicklungsplattform Ihrer Wahl."
  2. Tipp (Advanced IT-Know-how nötig): "Machen Sie keine .git-Verzeichnisse und .git / config-Dateien mit Anmeldeinformationen oder Tokens in öffentlichen Repositorys oder auf Webservern verfügbar."

Der Blogpost formuliert, dass dieses vertiefte Security-Wissen gerade für IT-Fachkräfte bedeutsam sei: "Wir glauben, dass es wichtig ist, der Softwareentwickler-Community zu helfen, die Bedrohung besser zu verstehen und gemeinsam Massnahmen zum Schutz davor zu ergreifen." Wir wünschen den Usern an dieser Stelle "toi toi toi". (mag)

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022
image

Github macht KI-Tool Copilot breit verfügbar

Mit Hilfe von KI soll Entwicklern die tägliche Arbeit erleichtert werden. Copilot ist nun als Erweiterung für gängige Editoren allgemein verfügbar.

publiziert am 24.6.2022
image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022 6