Das Dokumentations-Startup Mintlify sagt, dass bei Dutzenden von Kunden Anfang des Monats GitHub-Tokens bei einem Datenverstoß aufgedeckt und letzte Woche öffentlich bekannt gegeben wurden.
Mintlify unterstützt Entwickler bei der Erstellung von Dokumentationen für ihre Software und ihren Quellcode, indem es Zugriff anfordert und direkt auf die GitHub-Quellcode-Repositorys des Kunden zugreift. Mintlify zählt Fintech-, Datenbank- und KI-Startups zu seinen Kunden.
In einem Blogbeitrag vom Montag machte Mintlify den Vorfall vom 1. März auf eine Schwachstelle in seinen eigenen Systemen zurückzuführen, sagte jedoch, dass die GitHub-Tokens von 91 seiner Kunden dadurch kompromittiert worden seien.
Diese privaten Token ermöglichen es GitHub-Benutzern, ihren Kontozugriff mit Apps von Drittanbietern, einschließlich Unternehmen wie Mintlify, zu teilen. Wenn diese Token gestohlen werden, könnte ein Angreifer denselben Zugriff auf den Quellcode einer Person erhalten, den der Token zulässt.
„Die Benutzer wurden benachrichtigt und wir arbeiten mit GitHub zusammen, um herauszufinden, ob die Token für den Zugriff auf private Repositories verwendet wurden“, schrieb Han Wang, Mitbegründer von Mintlify in einem Blogbeitrag.
Die Nachricht von dem Vorfall wurde letzte Woche öffentlich, als einige Benutzer auf Reddit und Hacker News einen Kommentar abgab, nachdem sie am Freitag eine E-Mail von Mintlify über den Vorfall erhalten hatten, Tage nachdem das Unternehmen in seinem Blogbeitrag den Kunden zunächst mitgeteilt hatte, dass „von Ihrer Seite keine weiteren Maßnahmen erforderlich sind“.
In einem Beitrag über den Verstoß auf Hacker News, Wang sagte, eine Schwachstelle in seinen Systemen bestehe darin, dass die internen Administrator-Anmeldeinformationen des Unternehmens an Kunden weitergegeben würden. Diese Anmeldeinformationen könnten dann für den Zugriff auf die internen Endpunkte des Unternehmens verwendet werden, um auf andere nicht näher bezeichnete vertrauliche Benutzerinformationen zuzugreifen, sagte Wang.
Wang sagte, dass das Unternehmen dabei sei, die Verwendung privater Token abzulehnen, „um zu verhindern, dass sich ein Vorfall wie dieser jemals wiederholt“.
Während der Blog-Beitrag die Person, die die Schwachstelle entdeckt hat, als Bug-Bounty-Reporter beschreibt, beschrieb der Mitbegründer des Unternehmens Wang die Ereignisse als böswillig.
„Die Ziele dieses Angriffs waren GitHub-Tokens unserer Benutzer“, sagte Wang per E-Mail gegenüber Tech.
„Untersuchungen bei einem betroffenen Kunden ergaben, dass der durchgesickerte Token wahrscheinlich nicht vom Angreifer verwendet wurde. Wir arbeiten derzeit mit GitHub und unseren Kunden zusammen, um herauszufinden, ob einer der anderen Token vom Angreifer verwendet wurde“, sagte Wang.