The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Атакующие получили доступ к сайту проекта Sourcegraph

01.09.2023 11:54

Проект Sourcegraph, развивающий движок для навигации по исходным текстам, рефакторинга и поиска в коде, раскрыл сведения об инциденте, в результате которого злоумышленники получили доступ к сайту Sourcegraph.com с правами администратора. Атакующим удалось загрузить данные о пользователях Sourcegraph, включающие email-адреса зарегистрированных пользователей, имена и email коммерческих клиентов и лицензионные ключи некоторых коммерческих пользователей.

Отмечается, что для доступа к сайту атакующими был использован токен одного из администраторов сайта, случайно сохранённый в публично доступном репозитории проекта. Pull-запрос, через который произошла утечка токена доступа, был отправлен 14 июля. При помощи полученного токена, который предоставлял право просмотра и изменения учётных записей на сайте Sourcegraph.com, 28 августа атакующий создал новую учётную запись с правами администратора и подключился к web-интерфейсу управления сайтом. Компроментация была выявлена после анализа аномального всплеска запросов к API Sourcegraph, вызванного добавлением атакующим прокси, позволявшим напрямую обращаться к внутренним сервисам.

  1. Главная ссылка к новости (https://about.sourcegraph.com/...)
  2. OpenNews: Проект Sourcegraph перешёл с открытой лицензии на проприетарную
  3. OpenNews: В Sourcegraph добавлен поиск по репозиториям Fedora
  4. OpenNews: Оценка числа примечаний TODO и FIXME в коде ядра Linux
  5. OpenNews: Открыты исходные тексты Sourcegraph
  6. OpenNews: Представлен Sourcegraph, сервис поиска по исходным текстам
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59696-sourcegraph
Ключевые слова: sourcegraph
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:26, 01/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    когда уже chatgpt научится такие токены публично оставленные искать
     
     
  • 2.4, Аноним (4), 12:48, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Пока что чатгпт только требует чтобы ему платили за токены.
     
  • 2.12, Аноним (-), 13:26, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а chatgpt умеет искать? вы ничего не напутали?
     
     
  • 3.54, Аноним (54), 18:06, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну там ему надо правильно объяснить. Причём тому, который за деньги. Тогда чего-нибудь сделает, что можно полезно использовать.

    Вещь неплохая, но вещь за абонентскую плату.

     
     
  • 4.74, Аноним (74), 20:33, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Selfhost решения нет? Проприетарный это чатджипити?
     
     
  • 5.76, Аноним (76), 21:19, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Selfhost решения нет?

    а у тебя уже есть Host на сотни терабайт и десятки тысяч A100, чтоб его крутить?

    или надеешься, что твой Целерон для 775 с Радеон X1300, 2 ГБ DDR2 и 40 ГБ UATA2 за год обсчитает один запрос и не сгорит от натуги?

     
     
  • 6.78, пох. (?), 23:22, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А надо? Большие ресурсы требуются для обучения модели, а не для эксплуатации уже обученной для единственного пользователя.

     
  • 2.85, don Rumata (ok), 13:45, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Есть https://github.com/trufflesecurity/trufflehog
     

  • 1.2, Аноним (2), 12:38, 01/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Шел разраб по своему локальному working tree. Видит — токен с правами администратора. Взял и запушил его в репозиторий.
     
     
  • 2.3, Аноним (4), 12:46, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Всегда так делаю, вирусов нет, ЧЯДНТ?
     
     
  • 3.34, Вирус (?), 16:09, 01/09/2023 Скрыто ботом-модератором
  • +1 +/
     
  • 2.20, Аноним (20), 14:12, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Пока ты фетчишь, остальные уже запушат!
     
     
  • 3.22, Аноним (22), 14:18, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    лично я пуллю
     

  • 1.5, Аноньимъ (ok), 12:50, 01/09/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]
  • –3 +/
     

  • 1.16, YetAnotherOnanym (ok), 13:36, 01/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > движок для навигации по исходным текстам, рефакторинга и поиска в коде
    > токен одного из администраторов сайта, случайно сохранённый в публично доступном репозитории проекта

    Догадаются добавить поиск токенов в коде?

     
     
  • 2.56, Аноним (54), 18:10, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Догадаются прятать токен. И так до бесконечности гонка за ресурсы.

    Проблема в человеке и команде. Есть команды, где пароли закоммичены в репо. Поэтому, выясняя свойства будущего места работы, полезно почитать их репо. Будет виден стиль и уровень в работе.

     
     
  • 3.73, пох. (?), 20:27, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А как ты этот репо найдешь-то, я вообще в другом городе?!

     
     
  • 4.80, Аноним (54), 01:09, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Через поисковик из любопытства, т.к. токен по тексту новости буквально "в публично доступном репозитории проекта".
     
     
  • 5.83, пох. (?), 09:16, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Через поисковик из любопытства, т.к. токен по тексту новости буквально "в публично
    > доступном репозитории проекта".

    мало ли у нас публичных репозиториев о которых мы и сами не знаем...


     

  • 1.26, Аноним (26), 14:38, 01/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >токен одного из администраторов сайта

    Почему теперь слово "пароль" заменяют на "токен"?

     
     
  • 2.27, Аноним (2), 14:44, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему теперь слово "пароль" заменяют на "токен"?

    почему вообще поссумов стали называть опоссумами? типа на ирландский манер что ли? почему постоянно надо все переименовывать?

     
     
  • 3.32, Опеннет познавательный (?), 15:33, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > почему вообще поссумов стали называть опоссумами? типа на ирландский манер что ли?
    > почему постоянно надо все переименовывать?

    Так только невежды делают, ведь поссумы это млекопитающие отряда двурезцовые сумчатые, семейства кускусовые, а опоссумы, это млекопитающие отряда ососсумы, семейства опоссумовые.

    Это примерно как сказать, что какие-то чудаки называют уток утконосами.

     
     
  • 4.48, пох. (?), 17:41, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Так только невежды делают, ведь поссумы это млекопитающие отряда двурезцовые сумчатые,
    > семейства кускусовые, а опоссумы, это млекопитающие отряда ососсумы, семейства опоссумовые.

    а какая разница? Оба некошерные. Мерзость.

    > Это примерно как сказать, что какие-то чудаки называют уток утконосами.

    это вот на букву м чудаки. Утку можно. Утконоса нельзя, он в перечень даже теоретически попасть не мог. Как можно перепутать?!


     
     
  • 5.69, Опоссум_пох_дот (?), 19:55, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А ты чего так нервничаешь в комментариях под этой новостью?
    Уж не ты ли был тем самым администратором Sourcegraph у которого токен утек?)))
     
     
  • 6.72, пох. (?), 20:26, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А ты чего так нервничаешь в комментариях под этой новостью?

    Нервничаю?! Да я наслаждаюсь. Прекрасная ж новость, что не так-то?!

    > Уж не ты ли был тем самым администратором Sourcegraph

    увы, нет.

     
  • 2.29, Иваня (?), 15:17, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мы все люди, а людям свойственно ошибаться. Вы не исключение!
     
  • 2.61, Аноним (54), 18:22, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Заменяют не слово пароль, а чаще используют обезличенные системы доступа Ключ п... большой текст свёрнут, показать
     
     
  • 3.62, Аноним (54), 18:23, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Специфика высокой нагрузки по сети.
     
  • 2.79, Аноним2 (?), 23:53, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что не заменяют
    Токен != пароль
     
  • 2.82, Аноним (82), 09:05, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Токен самодостаточен, в отличие от пароля
     

  • 1.30, Аноним (30), 15:19, 01/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Клоунские шаред хостинги гита не умеют запускать pre-receive хуки для таких яжпрограммистов? Вот это открытие!
     
     
  • 2.64, Аноним (54), 18:26, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А он спрячет токен в base64 и присолит именем файла, так что хуком не увидишь.

    Если человек не хочет напрягаться, то бороться очень трудно и затратно.

    Можно делать ревью кода, находить и убирать такое отношение у человека.

     

  • 1.31, жявамэн (ok), 15:31, 01/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    узнал о таком сайте из новости.
     
     
  • 2.33, Иваня (?), 16:07, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Отстаёшь от трендов современности :(
     

  • 1.68, Жеванноштопанный пох_Ля (?), 18:45, 01/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ужасная история с Sourcegraph.
    Подскажите, какие действия планирует осуществлять администрация взломанного ресурса для предотвращения подобных инцидентов в будущем?
     
     
  • 2.77, Аноним (76), 21:25, 01/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    никаких. зачем?
     

  • 1.84, InuYasha (??), 10:42, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > случайно сохранённый в публично доступном репозитории проекта.

    :D typical git user .com

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру