个人访问令牌泄露……私有代码库被访问

国内外企业和开发者所使用的软件开发平台访问权限发生泄露,警方已着手调查。侦查部门还发布了安全建议,以防止发生进一步的黑客攻击损失。


韩国警察厅国家侦查本部14日表示,已确认大量GitHub账户访问权限泄露至外部,将发布包含紧急安全措施及建议事项的安全建议书。GitHub是由微软运营的软件开发平台,开发者等可在此存储和管理源代码。


韩国国家侦查本部调查“软件开发平台”GitHub访问权限泄露事件 View original image

泄露的信息为GitHub的“个人访问令牌”,这是用户用于访问GitHub私有代码库的认证凭证。国家侦查本部警告称,若攻击者窃取该令牌并访问受害者的代码库,可能获取系统登录所需信息,继而入侵个人或企业的核心系统,窃取个人信息、企业机密等敏感资料。


所有使用GitHub私有代码库的企业和个人,均应检查是否因访问权限泄露而遭到入侵,以及是否存在未经授权的访问。此前签发的个人访问令牌应立即作废并重新签发。


此外,为防范进一步的黑客攻击损失,须遵守以下安全守则:▲对访问权限实施多重认证、最小化和细分化管理 ▲禁止在源代码中记录核心系统访问资料 ▲检查开发者个人电脑的安全状况等。


警方在推进GitHub访问权限泄露事件调查的同时,已通知泄露个人访问令牌的用户及GitHub方面采取安全措施。GitHub方面向警方通报,已实施“作废泄露的个人访问令牌并对相关用户发出警报”等安全措施。此外,警方计划一旦确认新增威胁信息,将迅速与相关机构及企业共享,并持续提升应对网络攻击的能力。



警察厅网络侦查审议官Park Uhyeon表示:“这是发现攻击者不仅将企业信息通信网络,也将开发平台作为攻击目标的案例,企业和个人开发者必须迅速采取安全措施。”他还呼吁,“如已遭受犯罪损失或发现可疑迹象,请立即报警。”


本报道由人工智能(AI)翻译技术生成。

版权所有 © 阿视亚经济。未经许可不得转载,禁止用于AI训练及使用。

不容错过的热点