GitHub โดนแฮ็ก

By: mk

on 5 March 2012 - 22:09 Tags:

Topics:

GitHub เว็บฝากซอร์สโค้ดชื่อดังโดนแฮ็กเข้าเสียแล้ว โดยผ่านช่องโหว่ของโค้ดที่เขียนด้วย Ruby on Rails

เรื่องนี้จะซับซ้อนกว่าการแฮ็กทั่วๆ ไปอยู่สักหน่อย เพราะผู้ใช้ชื่อ homakov ได้แจ้งข่าวกับทีมงานของ GitHub ไปเมื่อ 3 วันก่อนว่าพบช่องโหว่ในระบบ ซึ่งทั้งสองฝ่ายก็ทำงานร่วมกันเพื่อปิดช่องโหว่นี้จนสำเร็จ

อย่างไรก็ตาม วันนี้ homakov พบช่องโหว่ใหม่และไม่แจ้งทาง GitHub เหมือนคราวก่อน (หรือแจ้งข่าวแต่ GitHub ไม่รับฟัง อันนี้ไม่มีใครรู้ได้) เขาเลยแฮ็กระบบโดยแทรก public key ของเขาเข้ามาในรายการรับรองของระบบ และเพิ่มไฟล์ใหม่ 1 อันเข้ามาใน GitHub ของโครงการ Ruby on Rails (ลิงก์ -- ตอนที่เขียนข่าวนี้ไฟล์ยังอยู่) เพื่อแสดงให้เห็นว่าเขาแฮ็กระบบได้

GitHub ได้แบนผู้ใช้รายนี้ไปชั่วคราวเพื่อตรวจสอบ และขอความร่วมมือให้ผู้ใช้รายอื่นๆ เข้ามาตามช่องทางมาตรฐานจะดีกว่า

ที่มา - GitHub (1), GitHub (2)

Hiring! บริษัทที่น่าสนใจ

M Intelligence Co., Ltd.

M Intelligence, Marketing technology advisory company based in Thailand

CIMB THAI Bank

MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank

ttb bank

“Transform the future of banking and unlock a new world of possibilities with us”

Comments

By: BLiNDiNG

on 5 March 2012 - 22:36 #391255

บางทีก็อาจจะอยากสร้างชื่อก็ได้นะครับ เผื่อบริษัทอื่นจะสนใจ

ไม่ได้ทำอะไรเสียหายเลยนี่นา

By: anu

on 5 March 2012 - 22:37 #391257

ตามลิงค์นี้ https://github.com/blog/1069-responsible-disclosure-policy ระบุว่าได้ระงับการใช้งานของ @homakov ชั่วคราวนะครับ ตรวจสอบแล้วไม่พบการกระทำที่ประสงค์ร้ายก็ใช้งานได้เหมือนเดิมแล้ว

By: Sikachu

on 5 March 2012 - 23:30 #391274

ข่าวผิดนะครับ มันเป็นช่องโหว่ของการไม่ตรวจสอบรายการ (whitelist) parameter ที่รับเข้ามาครับ ทำให้มีช่องโหว่สามารถโดน XSS ได้ ซึ่งเป็นความผิดพลาดของทาง GitHub เองที่ไม่เขียนโค้ดให้ปลอดภัยครับ เพราะจริงๆ Rails มี configuration นี้มานานมากแล้ว แล้วก็ย้ำนักย้ำหนาเรื่องความสำคัญของมัน แต่ทาง GitHub ไม่ได้เปิดใช้งานครับ

ตอนนี้ทาง Rails Core Team เลยแก้ไขค่า default ให้นักพัฒนาต้องทำการ whitelist parameters ที่เข้ามาในรุ่นถัดๆ ไปแล้วครับ

บล็อกของผม: http://sikachu.com

By: mk

on 6 March 2012 - 10:08 #391388 Reply to:391274

แก้ตามนั้นครับ

By: pe3z

on 6 March 2012 - 01:39 #391303

เห็น How-To จากเจ้าตัวแว๊บๆ

By: marshazz

on 6 March 2012 - 09:02 #391335 Reply to:391303

ดูแล้วคล้ายๆ พวก injection ไม่เคยลอง RoR

By: caznova

on 6 March 2012 - 11:23 #391461

เพราะครั้งแรกไม่จ่ายเงินให้เหรอ ? ครั้ง สองเลยจัดเลย

Main menu