Belgeleme girişimi Mintlify, ayın başında düzinelerce müşterinin GitHub tokenlarının veri ihlaline maruz kaldığını ve geçen hafta kamuya açıklandığını söyledi.
Mintlify, geliştiricilerin erişim talebinde bulunarak ve doğrudan müşterinin GitHub kaynak kodu depolarına dokunarak yazılımları ve kaynak kodları için belgeler oluşturmalarına yardımcı olur. Mintlify, fintech, veritabanı ve yapay zeka girişimlerini müşteri olarak sayıyor.
Pazartesi günü yayınlanan bir blog yazısında Mintlify, 1 Mart’taki olaydan kendi sistemlerindeki bir güvenlik açığını sorumlu tuttu ancak bunun sonucunda 91 müşterisinin GitHub tokenlerinin tehlikeye girdiğini söyledi.
Bu özel belirteçler GitHub kullanıcılarının hesap erişimlerini Mintlify gibi şirketler de dahil olmak üzere üçüncü taraf uygulamalarla paylaşmalarına olanak tanır. Bu tokenlar çalınırsa, saldırgan kişinin kaynak koduna tokenın izin verdiği düzeyde erişim sağlayabilir.
Mintlify kurucu ortağı Han Wang bir blog yazısında “Kullanıcılara bilgi verildi ve tokenların özel depolara erişim için kullanılıp kullanılmadığını belirlemek için GitHub ile birlikte çalışıyoruz” dedi.
Olayla ilgili haberler geçen hafta Reddit ve Hacker News’teki bazı kullanıcıların Cuma günü Mintlify’dan olayla ilgili bir e-posta aldıktan sonra yorum yapmasıyla kamuoyuna duyuruldu; şirketin blog gönderisinin başlangıçta müşterilere “sizin tarafınızdan başka bir işlem yapılmasına gerek olmadığı” söylenmesinden birkaç gün sonra.
Hacker News’teki ihlali tartışan bir gönderide Wang, sistemlerindeki bir güvenlik açığının şirketin dahili yönetici kimlik bilgilerini müşterilere sızdırdığını söyledi. Wang, bu kimlik bilgilerinin daha sonra diğer belirtilmemiş hassas kullanıcı bilgilerine erişmek için şirketin dahili uç noktalarına erişmek için kullanılabileceğini söyledi.
Wang, şirketin “böyle bir olayın bir daha yaşanmasını önlemek için” özel tokenların kullanımını kaldırma sürecinde olduğunu söyledi.
Blog yazısında güvenlik açığını keşfeden kişiyi hata ödülü muhabiri olarak tanımlarken, şirketin kurucu ortağı Wang, olayları kötü niyetli olarak nitelendirdi.
Wang, TechCrunch’a e-posta yoluyla “Bu saldırının hedefi kullanıcılarımızın GitHub token’larıydı” dedi.
“Etkilenen bir müşteriyle yapılan araştırmalar, sızdırılan tokenın muhtemelen saldırgan tarafından kullanılmadığını ortaya çıkardı. Şu anda GitHub ve müşterilerimizle birlikte saldırgan tarafından başka tokenlardan herhangi birinin kullanılıp kullanılmadığını ortaya çıkarmak için çalışıyoruz” dedi Wang.
Kaynak: https://techcrunch.com/2024/03/18/mintlify-customer-github-tokens-data-breach/