LINUX.ORG.RU

Результаты расследования инцидента с взломом зеркала Gentoo на GitHub

 , , ,


1

2

Команда Gentoo решила ситуацию с взломом организации Gentoo на GitHub и написала отчет, в котором собрана вся информация по произошедшему.

Также команда Gentoo выразила благодарность сообществу разработчиков и пользователей за поддержку во время инцидента.

Предыстория:

28 июня, где-то в районе 20:20 UTC, неизвестные заполучили контроль над организацией Gentoo на Github, модифицировали состояния репозиториев и страниц.

>>> Подробности

★★★★★

Проверено: maxcom ()
Ответ на: комментарий от pyroman

А почему бы тут в новости и не написать вкратце эти самые результаты?

То есть вот главным образом интересует наверное как произошёл взлом (где была утечка или что там).

pyroman ()

Ну вот все и узнали, что 1) OpenSource говно и что «тыщи человек видят код и это повышает безопасность» не соответствует действительности, а также 2) контора github «пишет» :-D

i82 ()
Ответ на: комментарий от anonymous

Кто-то взломал учетку админа репозитория на гитхабе, пригласил своего кореша, и устроили хулиганство типа заполнения ридми файлов расизмом и встраивание в ебилдах rm -rf /*

xDShot ★★★ ()
Ответ на: комментарий от i82

тыщи человек видят код и это повышает безопасность

Угу, а если не видели бы, то тогда расследование началось бы уже после злобных комментариев десятка-сотни пользователей, которым диски эремэрефнули.

dvrpd ()

Как настоящий рисковый парень, я продолжал все эти дни обновляться с gentoo-mirror. Правда вроде писали, что его как раз и не затронули, но кто ж этим писакам верит.

dimgel ()
Ответ на: комментарий от i82

1) OpenSource говно и что «тыщи человек видят код и это повышает безопасность» не соответствует действительности

Што? О взломе стало известно в течение часов и организация была заморожена. Закрытая контора в таких случаях раздаёт внедрённые закладки веками.

2) контора github «пишет» :-D

То что ведётся лог потенциально опасных операций - известный факт и ещё одно свидетельство серьёзного подхода к безопасности в GH. Лог доступен администраторам организаций.

https://github.com/organizations/<огранизация>/settings/audit-log

slovazap ★★★★★ ()

Красноглазики, вместо того, чтобы заниматься безопасностью и предметной областью, тратят время на бестолковую компиляцию. Очнитесь, дурачки. За вас уже все скомпилировали мейнтейнеры бинарных дистрибутивов.

FilosofeM ★★ ()
Ответ на: комментарий от anonymous

Опять на буржуйском

Поставь Хром, он неплохо переводит. Только не пользуйся расширениями для перевода в Firefox, они плохо переводят из-за старого API. Гугл забыл подключить его к нейросети видимо.

anonymous ()
Ответ на: комментарий от fornlr

Да тут походу социальная инженерия. Группа лиц или лицо, напоили тело, у которого доступ в коммиты был, обманным или насильственным путём завладели аккаунтом и ...,на шкодили не в основной репозиторий .

kickass ()
Ответ на: комментарий от ashot

А если он не в ойти, то ему и знать не положено об чём речь.

На мой взгляд, в современном мире, хочешь - не хочешь, а английский на уровне прочитать текст и понять общий смысл должен знать вообще любой человек, если он не корова. В школе все учились? Многие учились ещё и в вузе.

pihter ★☆ ()

The attacker gained access to a password of an organization administrator. Evidence collected suggests a password scheme where disclosure on one site made it easy to guess passwords for unrelated webpages.

Эталонное позорище.

anonymous ()
Ответ на: комментарий от boowai

Ага, учились.И учили немецкий.

Ну выучи еще и английский. Английский не так чтоб принципиально отличался от немецкого. Найди курс по грамматике в интернете и пройди. Этого вполне достаточно чтоб читать новости. Первое время со словарем. Делов-то.

pihter ★☆ ()
Ответ на: комментарий от RazrFalcon

Ну мне в котелок лезет одна мысля - это могла быть попытка скомпрометировать гитхаб в связи с покупкой онного мелкософтом и переезда многих проектов на гитлаб. А так да, похоже на двух пьяней зобравшихся среди ночи в магазинчик домашней утвари - там тарелки по побили, там в кастрюлю на срали...

anonymous ()
Ответ на: комментарий от WatchCat

и при первом же апдейте система снрсится к херам

А потом восстанавливается из бекапов. Кстати, рекомендую попробовать borgbackup. Недавно на неё переполз и просто нарадоваться не могу - чудо программа. Её авторы просто Борги!

anonymous ()
Ответ на: комментарий от pihter

Угу, в современной России это же язык вежливости, да. Скоро родную речь забудем<_<. Моё мнение - я не кому не чего не обязан, я не много знаю английский, не на таком уровне что бы читать текст конечно но мне, простому работяге для пользования Линухой, этого хватает за глаза.

anonymous ()
Ответ на: комментарий от anonymous

Инсидент саммэри

Эн анноун энтити гэйнд контрол ов эн админ эккаунт фо де Дженту Гитхаб Организэйшн энд ремувд ол аксесс то де организэйшн (энд иц репозиториз) фром Дженту девелоперз. Дей ден просидид то мэйк вэриос чэнджес то контент.

rupert ★★★ ()