2020 Ba shekara ce mai kyau ba dangane da tsaron kwamfuta. David ya gaya musu kwanan wata saida asusun zuƙowa. Kuma ga alama a wannan lokacin lokacin GitHub ne, sabis na karɓar baƙon Microsoft da sigar sarrafa sigar. An ruwaito cewa da yawa daga cikin masu amfani da ita suna fama da kamfen na ɓatar da kai da aka tsara musamman don tattarawa da satar takardun shaidarka ta hanyar shafukan apocryphal waɗanda suke kwaikwayon shafin shiga GitHub.
An sace asusun GitHub Haɗari na gaske ga masu haɓakawa da masu amfani
Nan da nan bayan karɓar ikon asusu, yaMaharan sun ci gaba da zazzage abubuwan da ke cikin wuraren ajiya na sirri ba tare da bata lokaci ba, yana jaddada wadanda suka Su kayan mallakar asusun kungiyar ne da sauran masu hadin gwiwa.
A cewar GitHub's Security Response Team (SIRT), waɗannan sune haɗarin
Idan maharin ya yi nasarar satar bayanan sirri na asusun mai amfani na GitHub, za su iya ƙirƙirar alamun GitHub na sirri da sauri ko ba da izini ga aikace-aikacen OAuth a kan asusun don adana dama idan mai amfani ya canza kalmar sirri.
A cewar SIRT, wannan kamfen na damfara da ake kira Sawfish, zai iya shafar duk asusun GitHub mai aiki.
Babban kayan aiki don samun damar asusun shine imel. Saƙonnin suna amfani da dabaru iri-iri don sa masu karɓa su danna muguwar hanyar haɗin da aka haɗa cikin rubutun: wasu suna cewa an gano ayyukan da ba a ba da izini ba, yayin da wasu ke ambaton canje-canje zuwa wuraren ajiya ko zuwa saitunan asusun mai amfani da aka nufa.
Masu amfani waɗanda suka faɗi don yaudara kuma danna don bincika ayyukan asusun su Daga nan sai a sake tura su zuwa wani shafin shiga na GitHub na karya wanda ke tattara takardun shaidansu ya kuma aika su zuwa sabobin da maharin yake sarrafawa.
Shafin karya wanda maharan suka yi amfani da shi Hakanan zaku sami lambobin tabbatarwa na matakai biyu a ainihin lokacin na wadanda abin ya shafa idan suna amfani da manhajar wayar hannu ta lokaci daya (TOTP).
Ga SIRT ya zuwa yanzu, asusun da aka kiyaye ta maɓallan tsaro na kayan masarufi ba masu sauƙi ga wannan harin ba.
Wannan shine yadda harin yake aiki
Daga abin da aka sani, wadanda aka fi sani da wannan kamfen na leken asiri a halin yanzu masu amfani ne da GitHub masu aiki ga kamfanonin fasaha a kasashe daban-daban kuma suna yin hakan ne ta amfani da adiresoshin imel da aka sani a fili.
Don aika imel mai leƙan asirri se amfani da yankuna na halal, ko dai ta amfani da sabobin imel da aka lalata a baya ko tare da taimakon bayanan sirri na API da aka sata daga halattattun masu samar da sabis na imel.
Maharan tHakanan suna amfani da sabis na gajarta URL tsara don ɓoye URLs na shafukan sauka. Har ma suna yin jerin ayyuka da yawa na gajeriyar URL tare don yin bincike ya fi wahala. Allyari ga haka, an gano yin amfani da sauyin da ke kan PHP daga rukunin yanar gizo.
Wasu hanyoyi don kare kanka daga harin
Dangane da shawarwarin waɗanda ke da alhakin tsaro, ya dace cewa idan kuna da asusun GitHub kuyi haka:
- Canza kalmar wucewa
- Sake saita lambobin dawowa a matakai biyu.
- Yi nazarin alamun samun dama na mutum.
- Canja zuwa kayan aiki ko tabbatarwa ta WebAuthn.
- Yi amfani da mai sarrafa kalmar sirri mai bincike. Waɗannan suna ba da kariya ta kariya daga kamun kifi don za su gane cewa ba hanyar haɗi ba ce da aka ziyarta a baya.
Kuma ba shakka, wanda ba ya kasawa. Karka taɓa danna hanyar haɗin da aka aiko maka ta imel. Rubuta adireshin da hannu ko sanya shi a cikin alamun shafi.
Koyaya, labari ne mai ban mamaki. Ba muna magana ne game da hanyar sadarwar zamantakewa ba amma shafin yanar gizo wanda bisa ga bayaninsa shine:
dandalin haɓaka software na haɗin gwiwa don karɓar ayyukan ta amfani da tsarin kula da sigar Git. An adana lambar a bainar jama'a, kodayake ana iya yin sa a cikin sirri ...
A takaice dai, masu amfani da ita sune mutanen da suke ƙirƙirar aikace-aikacen da muke amfani dasu sabili da haka waɗanda suke da ƙarin siffofin tsaro. Abu ne kamar sata daga Sashin 'Yan Sanda.