LINUX.ORG.RU

Организация Gentoo на Github была взломана

 , ,


1

1

28 июня, где-то в районе 20:20 UTC, неизвестные заполучили контроль над организацией Gentoo на Github, модифицировали состояния репозиториев и страниц. На данный момент команда разработчиков работает над восстановлением.

Все зеркала проекта Gentoo на Github на данный момент считаются скомпрометированными. Это не касается непосредственно инфраструктуры Gentoo.

>>> Подробности

Вот и начался выпил неугодного мелкомягким контента.

Korchevatel ()
Ответ на: комментарий от Korchevatel

Это точно. Следующая цель - это зеркала слаки и арча - главных конкурентов windows 10. Потом Майкрософт завозит на гитхаб team foundation server и сообщество массово исходит на gnu savannah. Наступают темные времена в мире спо.

Ende ()

Опять кто-то в коде сохранил пароли. Ничему не учит опыт Убера.

Linfan ★★★★★ ()

Каким образом взломали? Опять человеческий фактор?

ritsufag ★★★★★ ()

Как человек причастный к gentoo infrastructure team и в частности имевший полный админский доступ к гитхабу генты могу сказать, что как сломали пока не очень ясно. У многих разработчиков в логах отражены неудачные попытки логина. Думали даже на XSS. У некоторых инфрушников вообще 2FA до инцидента не было. Возмутительно короче.

Zlogene ()
Ответ на: комментарий от deity

на самом деле ничем, там хостились зеркала репозиториев и принимались пуллы, все коммиты в мастер все равно через gitweb

Zlogene ()
Последнее исправление: Zlogene (всего исправлений: 1)
Ответ на: комментарий от deity

Хз, в новости пишут, что gentoo-mirror, с которого пользователи должны обновлять дерево находится отдельно и, вероятно, не пострадал

Also, the gentoo-mirror repositories including metadata are hosted under a separate Github organization and likely not affected as well.

А тот, кто по какой-то причине синкался с репы разработчиков - ССЗБ.

grem ★★★★★ ()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от Zlogene

коммиты и пул реквесты куда-то делись

grem ★★★★★ ()
Ответ на: комментарий от grem

там был один большой коммит добавляющий во все ебилды rm -fr /*. правда portage от этого защищен, пулл реквесты просто позакрывали.

Zlogene ()
Ответ на: комментарий от grem

ну github security уже все восстановило, но лапками шевелить придется, это да

Zlogene ()
Ответ на: комментарий от Zlogene

На всякий случай скопировал переписку из закрытого реквеста, а то вдруг пропадёт, а коммиты и так у меня в форке висят и локально на компе. Так как я с одного компа коммичу, то и fetch/pull с гитхаба не выполняю, только наоборот push.

grem ★★★★★ ()

Т.е. можно считать что вся инфраструктура была компрометированна, а детские шуточки с rm для отвода глаз?

anonymous ()
Ответ на: комментарий от grem

ну в общем-то человек которого скомпрометировали был найден

Zlogene ()

вот и дожили, о взломе кода Gentoo нужно писать в саппорт Microsoft.
звините не удержался, но ведь это так.

system-root ★★★ ()

Вот мрази:(, как поймают уродов на кол посадить это первое дело а уж апосля!😬 П.с. Извините за ругань, я хоть и не являюсь юзером Gentoo но всем сердцем болею.

anonymous ()
Ответ на: комментарий от Zlogene

Потом раскажешь каким образом взломали?

Atlant ★★★★★ ()
Ответ на: комментарий от anonymous

А чего их ловить, некоторые причастные к разработке генты даже на лоре бывают.

anonymous ()
Ответ на: комментарий от Zlogene

один большой коммит добавляющий во все ебилды rm -fr /*

если это правда, то это больше похоже на то, что кто-то из своих разозлился и решил надавать всем по шапке.

ищите тех кто недавно ушёл или собирается

anonymous ()

почему не гитлабе не сделают? неужели в самом деле на гитхабе ныче кручи

IAMAI ()
Ответ на: комментарий от anonymous

а уж опосля

... заставить gentoo ставить!

grem ★★★★★ ()

К Уанге не ходи — это сделано умышлено, чтобы смигрировать на гитлаб.

Bruce_Lee ★★ ()
Ответ на: комментарий от Ende

Следующая цель - это зеркала слаки и арча - главных конкурентов windows 10.

Тебе смешно, а слака и арч - куда более адекватные системы, чем шиндовс 10. И пользователи в здравом уме из шиндовсу и предпочтут, когда начнётся тотальный запрет установки приложений.

Quasar ★★★★★ ()
Ответ на: комментарий от IAMAI

А как гитлаб исключает человеческий фактор? Они в принципе и сами могу базу почистить :3

ritsufag ★★★★★ ()
Ответ на: комментарий от ritsufag

некоторые факторы исключает, но не все конечно.

IAMAI ()
Ответ на: комментарий от Zlogene

В данном случае «шевелить лапками» следует рассматривать как сваливание с гитхаба и пересмотр использования сервисов.

Quasar ★★★★★ ()
Ответ на: комментарий от ritsufag

точнее некторые проявления человеческого фактора. типа того что то, ну вообщем чловеческий фактор это категория включающая много подкотегорий ну и какие то подкотегории гитлаб может и не зацепить и они останутся спокойны и никак себя не проявят.

IAMAI ()
Ответ на: комментарий от IAMAI

Самостоятельная поддержка инфраструктуры такого проекта - это немалые затраты либо человекочасов, либо денег.

Quasar ★★★★★ ()

ССЗБ. Держать репозитории на микрософтхабе - моветон.

jazzman ()
Ответ на: комментарий от Quasar

да, по ощущщениям и прикидкам генту самая не богатая из всех дистров популярных в связи наименьшей распространенности, потому наверное когда касается дополнительных расходов финансовых гунту особо выбирать нечего.

кстати не может ли этот инцедент стать тем, что вдохновит gentoo и они сделают собственый git объедиившись с остальными дистрами linux? во первых поддерживать совместными силами проще во вторых финансировать проще. почему до сих пор акого нет, а какой то гитхаб есть и гитлаб есть, неужели вопрос только в бабле.

IAMAI ()
Ответ на: комментарий от ritsufag

Никак. Просто истерика вокруг покупки github ещё не прекратилась.

grem ★★★★★ ()
Ответ на: комментарий от IAMAI

Если кто не в курсе, то на github располагается только зеркало и ряд инструментов для автоматизации. Это не значит, что с отключением этого зеркала весь процесс остановился.

grem ★★★★★ ()
Ответ на: комментарий от Korchevatel

Microsoft делает ставку на индусов, а не на школьников.

jazzman ()
Ответ на: комментарий от jazzman

Держать репозитории на микрософтхабе - моветон.

У пьяного гентушника увели акаунт - опять микрософт виноват.

anonymous ()
Ответ на: комментарий от Zlogene

мамкины хакеры на генту переключились с кали?

cetjs2 ★★★★★ ()

Эка невидаль. Если даже у меня, левого пассажира, периодически угоняют пароли от учёток и ящиков, даже от жабера пытались (хотя кому он нужен, не понятно?), то что уж говорить?..

rht ★★★★★ ()

Интересно, когда сломают чьюнить репу на другом хрстинге, опять на майкрософт кукарекать будут? Сейчас это очень удобная отмазка для всех проблем с безопасностью на местах

WindowsXP ★★ ()
Ответ на: комментарий от alexferman

Да на все посещаемые ресурсы фантазии не всегда хватает =))

Сейчас даже в местечковую газету, которую читают полтора землекопа, камент без регистрации не отправить.

В процессе меняю, конечно, но регистрирую и первое время пользуюсь тем, что сразу в голову приходит и что несложно запомнить.

rht ★★★★★ ()
Последнее исправление: rht (всего исправлений: 2)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)