تقول Mintlify إن رموز GitHub المميزة للعميل قد تم الكشف عنها في خرق البيانات
تقول شركة التوثيق الناشئة Mintlify إن العشرات من العملاء قد تعرضوا لرموز GitHub المميزة في خرق للبيانات في بداية الشهر وتم الكشف عنها علنًا الأسبوع الماضي.
تساعد Mintlify المطورين على إنشاء وثائق لبرامجهم وكود المصدر الخاص بهم عن طريق طلب الوصول والنقر مباشرة على مستودعات كود مصدر GitHub الخاصة بالعميل. تعتبر Mintlify الشركات الناشئة في مجال التكنولوجيا المالية وقواعد البيانات والذكاء الاصطناعي بمثابة عملاء.
وفي منشور على مدونة يوم الاثنين، ألقت Mintlify باللوم في حادثة الأول من مارس على ثغرة أمنية في أنظمتها الخاصة، لكنها قالت إن 91 من عملائها تعرضوا لاختراق رموز GitHub الخاصة بهم نتيجة لذلك.
تسمح هذه الرموز الخاصة لمستخدمي GitHub بمشاركة الوصول إلى حساباتهم مع تطبيقات الجهات الخارجية، بما في ذلك شركات مثل Mintlify. إذا سُرقت هذه الرموز المميزة، فيمكن للمهاجم الحصول على نفس مستوى الوصول إلى الكود المصدري للشخص الذي يسمح به الرمز المميز.
كتب هان وانغ، المؤسس المشارك لـ Mintlify، في منشور بالمدونة: “تم إخطار المستخدمين، ونحن نعمل مع GitHub لتحديد ما إذا كانت الرموز المميزة قد تم استخدامها للوصول إلى المستودعات الخاصة”.
أصبحت أخبار الحادث علنية الأسبوع الماضي عندما علق بعض المستخدمين على Reddit و Hacker News بعد تلقي بريد إلكتروني من Mintlify يوم الجمعة حول الحادث، بعد أيام من منشور مدونة الشركة الذي أخبر العملاء في البداية أنه “لا يلزم اتخاذ أي إجراء آخر من جانبك”.
وفي منشور يناقش الاختراق على موقع Hacker News، قال وانغ إن هناك ثغرة أمنية في أنظمتها كانت تتسبب في تسريب بيانات اعتماد المسؤول الداخلي للشركة إلى العملاء. وقال وانغ إنه يمكن بعد ذلك استخدام بيانات الاعتماد هذه للوصول إلى نقاط النهاية الداخلية للشركة للوصول إلى معلومات مستخدم حساسة أخرى غير محددة.
وقال وانغ إن الشركة كانت بصدد إيقاف استخدام الرموز الخاصة “لمنع وقوع حادث مثل هذا مرة أخرى على الإطلاق”.
وبينما يصف منشور المدونة الشخص الذي اكتشف الثغرة الأمنية بأنه مراسل مكافأة الأخطاء، وصف المؤسس المشارك للشركة وانغ الأحداث بأنها ضارة.
قال وانغ لـ TechCrunch عبر البريد الإلكتروني: “كانت أهداف هذا الهجوم هي رموز GitHub لمستخدمينا”.
“كشفت التحقيقات مع أحد العملاء المتأثرين أن الرمز المميز المسرب لم يستخدمه المهاجم على الأرجح. وقال وانغ: “نحن نعمل حاليًا مع GitHub وعملائنا للكشف عما إذا كان المهاجم قد استخدم أيًا من الرموز المميزة الأخرى”.
