LINUX.ORG.RU

Организация Gentoo на Github была взломана

 , ,


1

1

28 июня, где-то в районе 20:20 UTC, неизвестные заполучили контроль над организацией Gentoo на Github, модифицировали состояния репозиториев и страниц. На данный момент команда разработчиков работает над восстановлением.

Все зеркала проекта Gentoo на Github на данный момент считаются скомпрометированными. Это не касается непосредственно инфраструктуры Gentoo.

>>> Подробности

Вот и начался выпил неугодного мелкомягким контента.

Korchevatel ()
Ответ на: комментарий от Korchevatel

Это точно. Следующая цель - это зеркала слаки и арча - главных конкурентов windows 10. Потом Майкрософт завозит на гитхаб team foundation server и сообщество массово исходит на gnu savannah. Наступают темные времена в мире спо.

Ende ()

Опять кто-то в коде сохранил пароли. Ничему не учит опыт Убера.

Linfan ★★★★★ ()

Каким образом взломали? Опять человеческий фактор?

ritsufag ★★★★★ ()

Как человек причастный к gentoo infrastructure team и в частности имевший полный админский доступ к гитхабу генты могу сказать, что как сломали пока не очень ясно. У многих разработчиков в логах отражены неудачные попытки логина. Думали даже на XSS. У некоторых инфрушников вообще 2FA до инцидента не было. Возмутительно короче.

Zlogene ()
Ответ на: комментарий от deity

на самом деле ничем, там хостились зеркала репозиториев и принимались пуллы, все коммиты в мастер все равно через gitweb

Zlogene ()
Последнее исправление: Zlogene (всего исправлений: 1)
Ответ на: комментарий от deity

Хз, в новости пишут, что gentoo-mirror, с которого пользователи должны обновлять дерево находится отдельно и, вероятно, не пострадал

Also, the gentoo-mirror repositories including metadata are hosted under a separate Github organization and likely not affected as well.

А тот, кто по какой-то причине синкался с репы разработчиков - ССЗБ.

grem ★★★★★ ()
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от Zlogene

коммиты и пул реквесты куда-то делись

grem ★★★★★ ()
Ответ на: комментарий от grem

там был один большой коммит добавляющий во все ебилды rm -fr /*. правда portage от этого защищен, пулл реквесты просто позакрывали.

Zlogene ()
Ответ на: комментарий от grem

ну github security уже все восстановило, но лапками шевелить придется, это да

Zlogene ()
Ответ на: комментарий от Zlogene

На всякий случай скопировал переписку из закрытого реквеста, а то вдруг пропадёт, а коммиты и так у меня в форке висят и локально на компе. Так как я с одного компа коммичу, то и fetch/pull с гитхаба не выполняю, только наоборот push.

grem ★★★★★ ()

Т.е. можно считать что вся инфраструктура была компрометированна, а детские шуточки с rm для отвода глаз?

anonymous ()
Ответ на: комментарий от grem

ну в общем-то человек которого скомпрометировали был найден

Zlogene ()

вот и дожили, о взломе кода Gentoo нужно писать в саппорт Microsoft.
звините не удержался, но ведь это так.

system-root ★★★ ()

Вот мрази:(, как поймают уродов на кол посадить это первое дело а уж апосля!😬 П.с. Извините за ругань, я хоть и не являюсь юзером Gentoo но всем сердцем болею.

anonymous ()
Ответ на: комментарий от Zlogene

Потом раскажешь каким образом взломали?

Atlant ★★★★★ ()
Ответ на: комментарий от anonymous

А чего их ловить, некоторые причастные к разработке генты даже на лоре бывают.

anonymous ()
Ответ на: комментарий от Zlogene

один большой коммит добавляющий во все ебилды rm -fr /*

если это правда, то это больше похоже на то, что кто-то из своих разозлился и решил надавать всем по шапке.

ищите тех кто недавно ушёл или собирается

anonymous ()

почему не гитлабе не сделают? неужели в самом деле на гитхабе ныче кручи

IAMAI ()
Ответ на: комментарий от anonymous

а уж опосля

... заставить gentoo ставить!

grem ★★★★★ ()

К Уанге не ходи — это сделано умышлено, чтобы смигрировать на гитлаб.

Bruce_Lee ★★ ()
Ответ на: комментарий от Ende

Следующая цель - это зеркала слаки и арча - главных конкурентов windows 10.

Тебе смешно, а слака и арч - куда более адекватные системы, чем шиндовс 10. И пользователи в здравом уме из шиндовсу и предпочтут, когда начнётся тотальный запрет установки приложений.

Quasar ★★★★★ ()
Ответ на: комментарий от IAMAI

А как гитлаб исключает человеческий фактор? Они в принципе и сами могу базу почистить :3

ritsufag ★★★★★ ()
Ответ на: комментарий от ritsufag

некоторые факторы исключает, но не все конечно.

IAMAI ()
Ответ на: комментарий от Zlogene

В данном случае «шевелить лапками» следует рассматривать как сваливание с гитхаба и пересмотр использования сервисов.

Quasar ★★★★★ ()
Ответ на: комментарий от ritsufag

точнее некторые проявления человеческого фактора. типа того что то, ну вообщем чловеческий фактор это категория включающая много подкотегорий ну и какие то подкотегории гитлаб может и не зацепить и они останутся спокойны и никак себя не проявят.

IAMAI ()
Ответ на: комментарий от IAMAI

Самостоятельная поддержка инфраструктуры такого проекта - это немалые затраты либо человекочасов, либо денег.

Quasar ★★★★★ ()

ССЗБ. Держать репозитории на микрософтхабе - моветон.

jazzman ()
Ответ на: комментарий от Quasar

да, по ощущщениям и прикидкам генту самая не богатая из всех дистров популярных в связи наименьшей распространенности, потому наверное когда касается дополнительных расходов финансовых гунту особо выбирать нечего.

кстати не может ли этот инцедент стать тем, что вдохновит gentoo и они сделают собственый git объедиившись с остальными дистрами linux? во первых поддерживать совместными силами проще во вторых финансировать проще. почему до сих пор акого нет, а какой то гитхаб есть и гитлаб есть, неужели вопрос только в бабле.

IAMAI ()
Ответ на: комментарий от ritsufag

Никак. Просто истерика вокруг покупки github ещё не прекратилась.

grem ★★★★★ ()
Ответ на: комментарий от IAMAI

Если кто не в курсе, то на github располагается только зеркало и ряд инструментов для автоматизации. Это не значит, что с отключением этого зеркала весь процесс остановился.

grem ★★★★★ ()
Ответ на: комментарий от Korchevatel

Microsoft делает ставку на индусов, а не на школьников.

jazzman ()
Ответ на: комментарий от jazzman

Держать репозитории на микрософтхабе - моветон.

У пьяного гентушника увели акаунт - опять микрософт виноват.

anonymous ()
Ответ на: комментарий от Zlogene

мамкины хакеры на генту переключились с кали?

cetjs2 ★★★★★ ()

Эка невидаль. Если даже у меня, левого пассажира, периодически угоняют пароли от учёток и ящиков, даже от жабера пытались (хотя кому он нужен, не понятно?), то что уж говорить?..

Deleted ()

Интересно, когда сломают чьюнить репу на другом хрстинге, опять на майкрософт кукарекать будут? Сейчас это очень удобная отмазка для всех проблем с безопасностью на местах

WindowsXP ★★ ()
Ответ на: комментарий от alexferman

Да на все посещаемые ресурсы фантазии не всегда хватает =))

Сейчас даже в местечковую газету, которую читают полтора землекопа, камент без регистрации не отправить.

В процессе меняю, конечно, но регистрирую и первое время пользуюсь тем, что сразу в голову приходит и что несложно запомнить.

Deleted ()
Последнее исправление: rht (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.