La startup de documentación Mintlify dice que docenas de clientes tuvieron tokens de GitHub expuestos en una violación de datos a principios de mes y divulgados públicamente la semana pasada.
Mintlify ayuda a los desarrolladores a crear documentación para su software y código fuente solicitando comunicación y accediendo directamente a los repositorios de código fuente de GitHub del cliente. Mintlify cuenta entre sus clientes a empresas emergentes de tecnología financiera, bases de datos e inteligencia industrial.
En una publicación de blog el lunes, Mintlify culpó del incidente del 1 de marzo a una vulnerabilidad en sus propios sistemas, pero dijo que, como resultado, 91 de sus clientes vieron comprometidos sus tokens de GitHub.
Estos tokens privados permiten a los usuarios de GitHub compartir el comunicación a su cuenta con aplicaciones de terceros, incluidas empresas como Mintlify. Si estos tokens son robados, un atacante podría obtener el mismo nivel de comunicación al código fuente de una persona que el token permite.
«Los usuarios han sido notificados y estamos trabajando con GitHub para identificar si los tokens se utilizaron para obtener a repositorios privados», escribió el cofundador de Mintlify, Han Wang, en una publicación de blog.
La aviso del incidente se hizo pública la semana pasada cuando algunos usuarios de Reddit y Hacker News comentaron posteriormente de admitir un correo electrónico de Mintlify el viernes sobre el incidente, días posteriormente de que la publicación del blog de la compañía inicialmente dijera a los clientes que «no se requiere ninguna otra bono de su parte».
En una publicación sobre la violación en Hacker News, Wang dijo que una vulnerabilidad en sus sistemas estaba filtrando las credenciales de administrador interno de la compañía a los clientes. Esas credenciales podrían luego estilarse para obtener a los puntos finales internos de la compañía y obtener a otra información confidencial del sucesor no especificada, dijo Wang.
Wang dijo que la compañía estaba en el proceso de desaprobar el uso de tokens privados «para evitar que un incidente como este vuelva a ocurrir».
Si acertadamente la publicación del blog describe a la persona que descubrió la vulnerabilidad como un reportero de recompensas por errores, el cofundador de la compañía, Wang, describió los eventos como maliciosos.
«Los objetivos de este ataque fueron los tokens de GitHub de nuestros usuarios», dijo Wang a TechCrunch por correo electrónico.
“Las investigaciones con un cliente afectado revelaron que el atacante probablemente no utilizó el token filtrado. Actualmente estamos trabajando con GitHub y nuestros clientes para descubrir si el atacante utilizó alguno de los otros tokens”, dijo Wang.
————————————————– —————–
Esta página transcribe artículos de diversas fuentes de dominio sabido, las ideas expresadas son responsabilidad de sus respectivos autores por lo cual no nos hacemos responsables del uso o la interpretación que se les dé. La información publicada nunca debe sustituir consultorio profesional, médica, lícito o psicológica.
