Una Password de visita fue usada para vulnerar la cuenta en Github de Gentoo


Los Gerentes de la distribución Github han revelado el impacto y causa raíz del ataque que sufrieron hace una semana, donde un grupo de CiberDelincuentes realizaron modificaciones en los repositorios de Github, reemplazando código legitimo por código malicioso.

Los atacantes no tan solo hicieron cambios dentro del repositorio de Gentoo en Github, si no que también bloquearon el acceso a los desarrolladores de Gentoo al repositorio. Como resultado del incidente, los desarrolladores estuvieron sin acceso al repositorio por cinco días.

Los desarrolladores de Gentoo revelaron que los atacantes lograron acceso al repositorio de Github mediante una password de cuenta de invitado.

"El atacante obtuvo acceso a la contraseña de un administrador de la organización. La evidencia recopilada sugiere un esquema de contraseñas en el que la divulgación en un sitio facilitaba la detección de contraseñas para páginas web no relacionadas", escribió Gentoo en su informe de incidentes.

Este tipo de incidentes se pudieron haber evitado, si hubiesen empleado algún método de doble factor de autenticación, u OTP, ya que estas otorgan un nivel de seguridad mayor a las cuentas de acceso.

Fue solo cosa de suerte...


Gentoo dice que tuvo suerte durante este ataque, ya que este fue ruidoso. El ataque desconcertó a los desarrolladores de Gentoo ya que les llego un correo de electrónico cuando ocurrió el ataque.

La acción rápida de Gentoo y Github puso fin al ataque en unos 70 minutos.

"El ataque causo ruido; ya que al remover las cuentas de los desarrolladores a estos les llega un correo de aviso" Dijeron los gerentes de Gentoo

Hasta ahora los repositorios de Gentoo en  Github, están a salvo en los repositorios de Gentoo, y adicionalmente las llaves privadas de la cuenta no se vieron impactadas en el incidente.

Impacto

Como resultado del incidente, el Proyecto de Mantenedores de Proxy de Gentoo se vio afectado ya que muchos contribuyentes de mantenedores de proxy usan GitHub para enviar solicitudes de extracción, y todas las solicitudes de extracción anteriores también se desconectaron de sus confirmaciones originales y se cerraron.

Los atacantes intentaron ejecutar rm -rf en varios repositorios, la cual si se hubiese ejecutado, se hubiese borrado la información de los usuarios de manera recursiva. Por suerte los resguardos del repositorio impiden que este tipo de  comandos se pueda ejecutar.