В конце прошлой недели стало известно, что официальные GitHub-репозитории Gentoo были взломаны неизвестными лицами. Сообщалось, что хакеры модифицировали содержимое размещенных на GitHub репозиториев и страниц, организацию временно заблокировали на GitHub, а все размещенные там коды были признаны скомпрометированными до завершения расследования.
Теперь разработчики обнародовали детальный отчет о происшедшем, где дали ответы на многие вопросы, тревожившие сообщество. Так, подтвердилась информация о том, что атака произошла в ночь с 28 на 29 июня 2018 года. К счастью, атака была «громкой» и ее быстро заметили. Дело в том, что получив доступ к GitHub-аккаунту, злоумышленники практически сразу начали массово удалять других разработчиков, а те получили по почте соответствующие автоматические уведомления. Если бы преступники действовали «тише» и не выдали свое присутствие так быстро, последствия могли бы быть намного хуже.
Как и предполагалось, доступ к учетной записи Gentoo на GitHub неизвестные получили благодаря банальной халатности разработчиков. Официальный отчет гласит, что этот как раз тот случай, когда раскрытие парольной схемы для одного сайта облегчило подбор паролей для других ресурсов. Двухфакторную аутентификацию проштрафившийся администратор, по всей видимости, не использовал, зато теперь это станет обязательным условием для всех, кто имеет доступ к GitHub-аккаунту Gentoo.
В общей сложности разработчики потратили на восстановление контроля над учетной записью пять дней (инцидент как раз пришелся на выходные, что осложнило дело), и в настоящее время аккаунт Gentoo Organization вернулся к законным владельцам, а все следы активности взломщиков и их коммиты уже удалены.
Согласно официальным данным, злоумышленники успели внедрить вредоносный контент в следующие репозитории. В скобках указаны отрезки времени, на протяжении которых клонирование репозиториев представляло угрозу:
- gentoo/gentoo: (2018-06-28 20:38 - 2018-06-29 06:58)
- gentoo/musl: (2018-06-28 20:56 - 2018-06-29 06:59)
- gentoo/systemd: (2018-06-28 21:07 - 2018-06-29 06:57)
Сообщается, что взломщики пытались добавить к некоторыми репозиториям rm-rf, в попытке стереть все файлы пользователей, но разработчики пишут, что это вряд ли сработало бы благодаря защитным механизмам.
К отчету об инциденте также прилагается перечень мер, которые теперь предпринимают и собираются предпринять разработчики. О том, что теперь всех обяжут использовать двухфакторную аутентификацию, уже было сказано выше. Помимо этого проводятся всевозможные аудиты, разрабатывается официальный план коммуникаций для подобных ситуаций, а также официальная парольная политика. Кроме того, в ходе инцидента было обнаружено, что репозиторий systemd хранился на GitHub напрямую и не был зеркалом git.gentoo.org, что так же планируется исправить.
Также разработчики еще раз заверили, что собственная инфраструктура Gentoo в результате атаки не пострадала (gentoo.org и загруженный оттуда софт чисты). Таким образом, пользователи, не загружавшие ничего с GitHub, который фактически является лишь зеркалом проекта, находятся в безопасности.