Ataque ao GitHub resulta em invasão de cerca de 100 mil contas

O GitHub confirmou que cerca de 100 mil contas, pertencentes a dezenas de organizações, foram invadidas como parte de um ataque identificado em abril. O golpe foi realizado a partir de tokens de autenticação furtados de serviços externos e também levaram ao roubo de pacotes de desenvolvimento de software, metadados e outras informações, assim como dados de login e senhas em formato hash, que constituem a maior parte do volume comprometido.

• 4 dicas do GitHub para quem quer aprender a programar
• GitHub lança sistema que encontra brechas em códigos automaticamente

Os números aparecem em mais uma atualização fornecida pelo GitHub sobre um ataque identificado há dois meses. Mais especificamente, a rede afirma que foram obtidos os metadados de todos os pacotes das 100 mil contas comprometidas, assim como nomes e versões dos servidores rodando tais sistemas entre 7 e 10 de abril. Ainda, pacotes de duas organizações foram diretamente roubados pelos bandidos responsáveis pelo ataque.

A companhia chama atenção especial para o volume que contém nomes de usuário, endereços de e-mail e senhas, mas pondera que o arquivo datava de 2015, o que significa que muitas das informações podem não ter mais valor. Além disso, as credenciais estão criptografadas, ainda que em formatos inseguros como PBKDF2 e SHA1, mas o GitHub descarta uma invasão devido à aplicação obrigatória de autenticação em dois fatores para todos os perfis de desenvolvedores a partir de março. Ou seja, mesmo que um atacante obtenha a combinação correta para login, não será capaz de invadir sem o código adicional.

Além disso, o GitHub voltou a afirmar, após novas análises, que não houve alteração maliciosa ou qualquer modificação nos pacotes a que os bandidos tiveram acesso. Eles também não teriam realizado nenhum upload ou remoção de arquivos, com os usuários dos sistemas cujo desenvolvimento foi comprometido não estando sob risco. Ainda assim, todos foram notificados, enquanto as senhas das contas invadidas foram resetadas automaticamente.

Seguindo adiante nas divulgações, a plataforma disse ter encontrado, ainda, listas de credenciais salvas em texto simples, sem qualquer tipo de criptografia, em seus sistemas internos de serviços npm. De acordo com a plataforma, apenas seus funcionários tiveram acesso a essas informações, que incluíam tokens e senhas, e os arquivos foram apagados antes do ataque registrado em abril, evitando que elas fossem obtidas também pelos criminosos.

Como aconteceu o ataque ao GitHub?

Revelado há dois meses, a invasão às contas do sistema de desenvolvimento de software foi resultado do comprometimento de tokens OAuth, fornecidos a serviços de cloud computing e testes como Heroku e Travis-CI. Servidores do Amazon Web Services e de outras plataformas também foram invadidos como parte do golpe, indicando um grande vazamento de credenciais ou uma campanha de roubo de dados em grande escala.

Assim que identificou e revelou o ataque, o GitHub informou que todos os tokens foram desativados, de forma a impedir novos comprometimentos. Ao mesmo tempo, a empresa também pediu atenção, principalmente aos afetados, já que com a invasão das contas, os criminosos também podem ter obtido detalhes de sistemas e infraestruturas internas que podem levar a novos ataques diretos. Nada nesse sentido foi identificado até a publicação desta reportagem, entretanto.

Fonte: GitHub