cultura y tecnología
21 meneos
135 clics
Brecha masiva en Git: 15,000 Credenciales Robadas y 10,000 Repositorios Privados en Riesgo

Brecha masiva en Git: 15,000 Credenciales Robadas y 10,000 Repositorios Privados en Riesgo

Un grupo de investigadores en ciberseguridad ha descubierto una campaña masiva que se aprovecha de configuraciones inseguras de Git, esté es un sistema de control de versiones que permite a los desarrolladores gestionar y coordinar cambios en el código fuente. Los atacantes aprovecharon estas configuraciones para robar credenciales y clonar repositorios privados. El ataque, conocido como EMERALDWHALE, afectó a más de 10.000 repositorios que se encontraban en un servidor de Amazon sin la debida protección. Amazon detectó la actividad sospechos

| etiquetas: brecha masiva , git , 15.000 , credenciales robadas , repositorios privados
Por lo que he leído, escanean sitios web en busca de ficheros ".git/config" que se habrían subido a producción por error, y que a mayores contengan credenciales para acceder a los repositorios (urls de repo git con clave, supongo).
luego, en esos repos, habrá ficheros .env con credenciales para acceso a servicios de todo tipo.
¿Como que "en Git"? Será en servidores git, que no es lo mismo.
No hay ninguna brecha en Git, si alguien decide publicar su directorio .git en un servidor web con configuración de sus credenciales es problema del que lo ha publicado, no tiene nada que ver con git.

Es como si guardo mis passwords en un txt y decides subirlos a un servidor web, el problema no sería de Notepad porque haya creado ese fichero con él, será mío por ponerlo en accesible en la web.
#3 Brecha en Mercedes: Si dejas el coche en la calle con las llaves puestas es posible que algún desaprensivo te lo robe :shit:
Hay gente dura de mollera, pero es así.
Da igual lo que te gastes en seguridad si luego dejas la llave debajo de la alfombra.
Nuevas tecnologías para perpetuar viejas ideas, pero bueno, hay que estar a la última y todo eso.
Los viejos del lugar con miles de horas de teclado a sus espaldas se parten el pecho con las chorradas de los jóvenes tecnólogos del ALM, el SaaS, el PaaS, el IaaS la integración contínua el DevOps, el cloud,.... y las llaves debajo de la alfombra.
:troll: xD xD

menéame