Es schaut so aus, als ob eine GitHub-Seite des Ubuntu-Entwicklers Canonical gehackt sein könnte – zumindest deutet ein Tweet dies so an. Ergänzung: Cannonicals GitHub-Seite wurde gehackt. Hier ein paar Informationen, was ich bisher weiß.
Anzeige
Ein kryptischer Tweet
Aktuell kann ich mit dem folgenden Tweet, der mit vor vor einigen Minuten unter die Augen gekommen ist, nichts anfangen – der Tweet deutet aber auf einen Hack der Cannonical GitHub-Seite hin.
Ouch https://t.co/eBqW0TJHTV #Ubuntu #Canonical #sécurité pic.twitter.com/KYPVFO5G7U
— Damien Clauzel (@dclauzel) 6. Juli 2019
Rufe ich die GitHub-Seite von Canonical auf, sieht alles normal aus – und auch im Web finde ich nichts über einen Hack. Was mich aber stutzig macht: Bei einer Suche über Google finde ich hier noch die Datei HACKING.md, allerdings mit einer sinnvollen Projektbeschreibung.
Anzeige
Ich habe mal den obigen Screenshot als Beweis angefertigt, dass dort irgend etwas im Busch ist.
Nachtrag: Der Hack ist bestätigt
Danke an Thomas Dreier für seinen nachfolgenden Kommentar. Als ich beim Erstellen der ersten Fassung dieses Beitrags gesucht habe, bin ich noch nicht fündig geworden. Auf Hacker News ist nun in diesem Post die Bestätigung veröffentlicht worden.
Hijacking top comment…
We can confirm that on 2019-07-06 there was a Canonical owned account on GitHub whose credentials were compromised and used to create repositories and issues among other activities. Canonical has removed the compromised account from the Canonical organisation in GitHub and is still investigating the extent of the breach, but there is no indication at this point that any source code or PII was affected.
Furthermore, the Launchpad infrastructure where the Ubuntu distribution is built and maintained is disconnected from GitHub and there is also no indication that it has been affected.
We plan to post a public update after our investigation, audit and remediations are finished.
Thank you, your trust in Canonical is important to us, which is why we make privacy and security a priority.
-David on behalf of Canonical
Ein Benutzer mit dem Namen David (könnte David Britton sein), bestätigte vor einigen Stunden, dass ein von Canonical bei GitHub eingerichtetes Konto am 6. Juni 2019 kompromittiert worden sei. Offenbar wurden Anmeldedaten des Kontos erbeutet und dazu missbraucht, um Repositories zu erzeugen und andere Aktivitäten vorzunehmen.
Canonical hat das kompromittierte Konto aus der Canonical-Organisation in GitHub entfernt. Zur Zeit untersucht man das Ausmaß des Hacks, hat aber aktuell keine Hinweise darauf, dass der Quellcode oder PII betroffen waren. Die Launchpad-Infrastruktur, in der die Ubuntu-Distribution aufgebaut und gewartet wird, ist zudem von GitHub getrennt und es gibt auch keinen Hinweis darauf, dass diese betroffen ist. Ubuntu dürfte also sicher sein. Das Ubuntu-Team plant zu einem späteren Zeitpunkt ein Update zu diesem Vorfall zu veröffentlichen.
Inzwischen hat ZDNet.com diesen Artikel zum Hack veröffentlicht, der aber im wesentlichen auch nur obige Details wiedergibt. Auf Webarchive gibt es aber diese gespiegelte Fassung des Canonical GitHub-Kontos (siehe obiger Screenshot). Dort sind noch die 11 geänderten Dateien des Kontos einsehbar.
Das Ganze ist wohl nicht der erste Vorfall – hier im Blog und im Web finden sich immer wieder Meldungen, dass die Infrastruktur für Linux-Distributionen gehackt wurde und dort Dateien verändert wurden. Kürzlich hatten Hacker verschiedene Git-Quellcode-Repositories von Entwicklern verändert und forderten Lösegeld (siehe Links am Artikelende). Selbst die Ubuntu Foren wurden im Jahr 2013 gehackt, wie ZDNet in obigem Artikel erwähnt.
I'm mostly interested if existing repos were modified in any way. It'd be easy to cover that up w/ git magic
— Dylan Katz (@Plazmaz) 7. Juli 2019
Zwei Tage vor dem Canonical GitHub-Vorfall entdeckte das Cybersicherheitsunternehmen Bad Packets internetweite Scans nach Git-Konfigurationsdateien. Solche Dateien können oft Anmeldedaten für Git-Konten enthalten, wie z.B. diejenigen, die zur Verwaltung von Code auf GitHub.com verwendet werden. Auch auf The Hacker News findet sich jetzt ein Artikel zum Thema. Wie es ausschaut, ist meine initiale Meldung in Form dieses ursprünglichen Blog-Posts wohl weltweit eine der ersten Berichte zum Thema gewesen.
Ähnliche Artikel:
Erpressung: Hacker löschen Git-Quellcode-Repositories
GitHub: Ausfall in den vergangenen Stunden
Anzeige
Siehe dazu https://news.ycombinator.com/item?id=20373009
@Tom: Herzlichen Dank für deinen Nachtrag. Als ich den Tweet sah, ergab meine Suche noch nix – ich habe daher nur einen Kurztext rausgehauen. Inzwischen ist ja etwas mehr bekannt und ich habe den Artikel nochmals grundsätzlich überarbeitet und erweitert.