Angripere utnyttet sårbarhet i utviklerkonto
Et open source-verktøy med over én million nedlastinger per måned ble kompromittert da angripere utnyttet en sårbarhet i utviklerens arbeidsflyt. Sårbarheten ga tilgang til signaturnøkler og annen sensitiv informasjon, ifølge utviklerne.
Skadelig versjon lastet opp til PyPI og Docker
Fredag ble det lastet opp en skadelig versjon av verktøyet element-data, en kommandolinjeapplikasjon som brukes til å overvåke ytelse og avvik i maskinlæringsystemer. Når pakken ble kjørt, skannet den systemer for sensitiv data, herunder:
- Brukerprofiler
- Lagringslegitimasjoner
- Skyleverandørnøkler (AWS, Azure, Google Cloud)
- API-tokens
- SSH-nøkler
Den skadelige versjonen, merket som 0.23.3, ble publisert til utviklernes kontoer på Python Package Index (PyPI) og Docker Hub. Pakken ble fjernet innen 12 timer, lørdag morgen.
Ikke alle versjoner berørt
Elementary Cloud, Elementary dbt-pakken og andre CLI-versjoner ble ikke påvirket av hendelsen, ifølge utviklerne.
Anta kompromittering – hva du bør gjøre nå
«Brukere som installerte versjon 0.23.3, eller som trakk og kjørte det berørte Docker-bildet, bør anta at alle legitimasjoner tilgjengelige i miljøet der det ble kjørt, kan ha blitt eksponert,» skriver utviklerne i en offisiell uttalelse.
Anbefalte tiltak for berørte brukere:
- Roter alle API-nøkler, passord og autentiseringsinformasjon som var tilgjengelige i det berørte miljøet.
- Sjekk systemlogger for mistenkelig aktivitet de siste dagene.
- Oppdater til nyeste versjon av element-data dersom du fortsatt bruker verktøyet.
- Vurder å revidere tilgangsrettigheter for sky- og lagringsløsninger.
Sikkerhetshull lukket – men hendelsen understreker risikoen
Selv om sårbarheten raskt ble lukket, viser hendelsen hvor utsatt open source-prosjekter kan være for angrep. Utviklere oppfordres til å implementere strengere autentiserings- og tilgangskontroller for å forhindre lignende hendelser i fremtiden.
Relaterte artikler
OpenAI gir ChatGPT tilgang til bankkontoene dine – er du klar?
ChatGPT will even know how much credit card debt you have. | Image: OpenAI Your trust in AI is about to be put to the test: OpenAI will soon let you g...
Fired IT-ansatte slettet 96 amerikanske databaser – opptaket avslørte dem
Perhaps you remember Muneeb and Sohaib Akhter, the 34-year-old twin brothers we profiled earlier this week. Although they had the tech chops to commit...
Linux-utviklere mot alderskontrollert internett: Ny lovgivning truer å ramme åpen programvare
In January, Colorado lawmakers introduced a proposal to make operating systems collect users' ages and pass them to app developers. The bill, SB26-051...
Ny sårbarhet i Windows 11 lar uvedkommende omgå BitLocker-kryptering på sekunder
A zero-day exploit circulating online allows people with physical access to a Windows 11 system to bypass default BitLocker protections and gain compl...
Esports-VM flytter fra Riyadh til Paris – bakgrunnen er uro i Midtøsten
Uncertainty in the Middle East is apparently forcing the location change.
Sikkerhetsbrudd i ChatGPTs Mac-app: Ingen data lekket
OpenAI found no evidence that user data was accessed.
Nye Google-kontoer får bare 5 GB gratis lagring – med mindre du oppgir telefonnummer
Previously, you got 15GB whether you added a number or not.
Windows-oppdateringer vil automatisk tilbakestille problematiske drivere
The company is also trying to prevent driver problems before they happen with a new initiative.