(https://i.postimg.cc/Mp91CdTj/GitHub.png) (https://postimages.org/)
El diseño de GitHub, propiedad de Microsoft, hace que los datos del repositorio estén siempre disponibles, lo que potencialmente permite a actores maliciosos acceder a información confidencial como claves API y secretos, incluso después de que los usuarios crean que los han eliminado.
[Su rostro en este justo momento]
(https://i.postimg.cc/mgyqRJVH/Cat-7.png) (https://postimages.org/)
Los investigadores de Truffle Security denominaron la vulnerabilidad de GitHub Cross Fork Object Reference (CFOR). La falla se manifiesta cuando "una bifurcación del repositorio puede acceder a datos confidenciales de otra bifurcación, incluidos datos de bifurcaciones privadas y eliminadas".
"Puedes acceder a datos de bifurcaciones eliminadas, repositorios eliminados e incluso repositorios privados en GitHub. Y está disponible para siempre. Esto lo sabe GitHub y está diseñado intencionalmente de esa manera", afirman los investigadores.
Las bifurcaciones o copias del trabajo de otros usuarios se guardan en la red de GitHub. Cuando se realizan cambios, como eliminaciones o cambios de visibilidad, los datos siguen siendo accesibles a través de otras partes de la red.
En otras palabras, GitHub guarda copias de los datos sin que los usuarios se den cuenta. GitHub es una herramienta de colaboración esencial para desarrolladores de software con más de 100 millones de usuarios, lo que significa que varias organizaciones pueden tener sus datos confidenciales expuestos involuntariamente.
Según los investigadores, después de eliminar una bifurcación, los datos confirmados siguen siendo accesibles a través del repositorio original. Además, después de que los usuarios eliminan todo el repositorio bifurcado, aún se puede acceder a los datos a través de cualquier bifurcación existente. Finalmente, después de que los usuarios hacen público un repositorio privado, con algunas bifurcaciones internas mantenidas privadas, se puede acceder a datos confidenciales a través del repositorio público.
"La implicación aquí es que cualquier código enviado a un repositorio público puede ser accesible para siempre, siempre que haya al menos una bifurcación de ese repositorio", afirman los autores del informe.
Para proteger a los usuarios de la exposición de sus proyectos, GitHub genera instantáneas de proyectos en progreso, llamadas confirmaciones dentro de GitHub. Sin embargo, los investigadores afirman que los hash pueden ser forzados de forma bruta o acceder a ellos a través de la API de eventos públicos de Github.
Los investigadores de Truffle Security señalan que GitHub no guarda secretos sobre cómo mantener los datos accesibles y describe todo el proceso en su documentación. Sin embargo, es probable que muchos usuarios de GitHub no sepan que separar los repositorios públicos y privados no garantiza la privacidad.
"El usuario promedio ve la separación de los repositorios públicos y privados como un límite de seguridad y, comprensiblemente, cree que los usuarios públicos no pueden acceder a los datos ubicados en un repositorio privado. Desafortunadamente, como documentamos anteriormente, eso no siempre es cierto", afirman los autores del informe.
El CFOR puede plantear riesgos para las organizaciones, ya que la información confidencial que los desarrolladores pensaban que habían asegurado es en realidad accesible. Eso puede incluir claves API, contraseñas y código propietario, lo que deja sin saberlo a las organizaciones expuestas a violaciones de datos.
A principios de esta semana, investigadores de Check Point revelaron una sofisticada operación maliciosa "nunca antes vista" en GitHub. Una red de phishing, denominada Stargazers Ghost Network, que propaga malware y se dirige a jugadores, entusiastas de las redes sociales y poseedores de criptomonedas a través de repositorios maliciosos.
Fuente:
CyberNews
https://cybernews.com/news/deleted-github-data-accessible-to-anyone/