Canonical GitHub-Seite gehackt?

Es schaut so aus, als ob eine GitHub-Seite des Ubuntu-Entwicklers Canonical gehackt sein könnte – zumindest deutet ein Tweet dies so an. Ergänzung: Cannonicals GitHub-Seite wurde gehackt. Hier ein paar Informationen, was ich bisher weiß. 


Anzeige

Ein kryptischer Tweet

Aktuell kann ich mit dem folgenden Tweet, der mit vor vor einigen Minuten unter die Augen gekommen ist, nichts anfangen – der Tweet deutet aber auf einen Hack der Cannonical GitHub-Seite hin. 

Rufe ich die GitHub-Seite von Canonical auf, sieht alles normal aus – und auch im Web finde ich nichts über einen Hack. Was mich aber stutzig macht: Bei einer Suche über Google finde ich hier noch die Datei HACKING.md, allerdings mit einer sinnvollen Projektbeschreibung.

Canonical GitHub-Seite mit merkwürdigem Dateinamen


Anzeige

Ich habe mal den obigen Screenshot als Beweis angefertigt, dass dort irgend etwas im Busch ist.

Nachtrag: Der Hack ist bestätigt

Danke an Thomas Dreier für seinen nachfolgenden Kommentar. Als ich beim Erstellen der ersten Fassung dieses Beitrags gesucht habe, bin ich noch nicht fündig geworden. Auf Hacker News ist nun in diesem Post die Bestätigung veröffentlicht worden.

Hijacking top comment…

We can confirm that on 2019-07-06 there was a Canonical owned account on GitHub whose credentials were compromised and used to create repositories and issues among other activities. Canonical has removed the compromised account from the Canonical organisation in GitHub and is still investigating the extent of the breach, but there is no indication at this point that any source code or PII was affected.

Furthermore, the Launchpad infrastructure where the Ubuntu distribution is built and maintained is disconnected from GitHub and there is also no indication that it has been affected.

We plan to post a public update after our investigation, audit and remediations are finished.

Thank you, your trust in Canonical is important to us, which is why we make privacy and security a priority.

-David on behalf of Canonical

Ein Benutzer mit dem Namen David (könnte David Britton sein), bestätigte vor einigen Stunden, dass ein von Canonical bei GitHub eingerichtetes Konto am 6. Juni 2019 kompromittiert worden sei. Offenbar wurden Anmeldedaten des Kontos erbeutet und dazu missbraucht, um Repositories zu erzeugen und andere Aktivitäten vorzunehmen.

Canonical hat das kompromittierte Konto aus der Canonical-Organisation in GitHub entfernt. Zur Zeit untersucht man das Ausmaß des Hacks, hat aber aktuell keine Hinweise darauf, dass der Quellcode oder PII betroffen waren. Die Launchpad-Infrastruktur, in der die Ubuntu-Distribution aufgebaut und gewartet wird, ist zudem von GitHub getrennt und es gibt auch keinen Hinweis darauf, dass diese betroffen ist. Ubuntu dürfte also sicher sein. Das Ubuntu-Team plant zu einem späteren Zeitpunkt ein Update zu diesem Vorfall zu veröffentlichen.

Canonical GitHub-Seite mit Hack-Signatur

Inzwischen hat ZDNet.com diesen Artikel zum Hack veröffentlicht, der aber im wesentlichen auch nur obige Details wiedergibt. Auf Webarchive gibt es aber diese gespiegelte Fassung des Canonical GitHub-Kontos (siehe obiger Screenshot). Dort sind noch die 11 geänderten Dateien des Kontos einsehbar.

Das Ganze ist wohl nicht der erste Vorfall – hier im Blog und im Web finden sich immer wieder Meldungen, dass die Infrastruktur für Linux-Distributionen gehackt wurde und dort Dateien verändert wurden. Kürzlich hatten Hacker verschiedene Git-Quellcode-Repositories von Entwicklern verändert und forderten Lösegeld (siehe Links am Artikelende). Selbst die Ubuntu Foren wurden im Jahr 2013 gehackt, wie ZDNet in obigem Artikel erwähnt.

Zwei Tage vor dem Canonical GitHub-Vorfall entdeckte das Cybersicherheitsunternehmen Bad Packets internetweite Scans nach Git-Konfigurationsdateien. Solche Dateien können oft Anmeldedaten für Git-Konten enthalten, wie z.B. diejenigen, die zur Verwaltung von Code auf GitHub.com verwendet werden. Auch auf The Hacker News findet sich jetzt ein Artikel zum Thema. Wie es ausschaut, ist meine initiale Meldung in Form dieses ursprünglichen Blog-Posts wohl weltweit eine der ersten Berichte zum Thema gewesen.

Ähnliche Artikel:
Erpressung: Hacker löschen Git-Quellcode-Repositories
GitHub: Ausfall in den vergangenen Stunden


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Canonical GitHub-Seite gehackt?

    • Günter Born sagt:

      @Tom: Herzlichen Dank für deinen Nachtrag. Als ich den Tweet sah, ergab meine Suche noch nix – ich habe daher nur einen Kurztext rausgehauen. Inzwischen ist ja etwas mehr bekannt und ich habe den Artikel nochmals grundsätzlich überarbeitet und erweitert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.