GitHub afirma que hackers robaron datos de miles de repositorios internos
GitHub, la mayor plataforma de alojamiento de código del mundo y propiedad de Microsoft, anunció el martes que está investigando una brecha de ciberseguridad. La empresa confirmó que hackers exfiltraron datos de miles de repositorios internos de GitHub, al tiempo que subrayó que no hay evidencia de acceso a código de clientes o bases de datos de clientes.
El equipo de Information Security de GitHub detectó la brecha por primera vez la mañana del 17 de mayo. Los patrones inusuales de tráfico de red fueron señalados por los sistemas de monitorización automatizados. La revisión preliminar estableció que el atacante había obtenido acceso no autorizado a los propios servidores internos de GitHub Enterprise de GitHub.
El Chief Security Officer de GitHub, Mike Hanley, escribió en una entrada del blog: 'El atacante copió código fuente, documentación interna y una cantidad de scripts de build de miles de repositorios de nuestro lado interno. El punto más importante que queremos subrayar: no hay evidencia de acceso a repositorios de clientes, información de cuentas de clientes o secretos de SDK usados para ejecutar GitHub Actions.'
El alcance de la brecha se está investigando actualmente. Los repositorios internos afectados incluyen el código de la plataforma web, el código fuente de la aplicación móvil, la documentación, el utillaje interno y la arquitectura de prompts del asistente de IA Copilot. Según GitHub, el código de Microsoft Azure o Windows no está dentro del alcance de esta brecha: las propias instancias internas de GitHub Enterprise de Microsoft se alojan en una infraestructura diferente.
Los expertos en ciberseguridad cuestionan la importancia de la brecha. El código propio de GitHub no contribuía al código abierto, pero algunos scripts de build y utillaje de pruebas podrían ser información valiosa para los competidores. Los conocimientos arquitectónicos podrían simplificar la comprensión de cómo funciona GitHub; eso podría afectar indirectamente a la seguridad de los clientes.
La fuente del ataque aún no se ha identificado. El equipo de GitHub Threat Intelligence no ha señalado tipos de actores específicos, como actores estatales rusos o chinos. Pero la naturaleza sofisticada de la brecha y la selección de objetivos suscitan la sospecha de un grupo respaldado por un Estado. Las firmas técnicas del ataque se aclararán en etapas posteriores de la investigación.
GitHub anunció que había notificado inmediatamente a las fuerzas del orden federales y estaba trabajando con el FBI. El Microsoft Security Response Center (MSRC) también participa en el incidente. Las credenciales y claves API de los repositorios afectados han sido revocadas y rotadas de forma provisional.
Como precaución para los clientes, GitHub recomienda a todas las y los usuarios asegurarse de que la autenticación de dos factores (2FA) esté activada. Se aconseja a las y los desarrolladores que utilicen Personal Access Tokens que roten (renueven) esos tokens. Se pide a los clientes de GitHub Enterprise que revisen los registros de auditoría de direcciones IP externas.
El impacto de la brecha en el precio de las acciones de GitHub es limitado porque GitHub no es una empresa pública cotizada por separado: Microsoft compró GitHub por 7.500 millones de dólares en 2018. La acción de Microsoft cayó un 1,2 por ciento antes de la apertura del mercado el miércoles tras la publicación de la brecha.
En general, la comunidad de ciberseguridad ha acogido con satisfacción la transparencia de GitHub al divulgar el incidente. Según el informe anual Data Breach Investigations Report de Verizon, las organizaciones tardan típicamente una media de 56 días en divulgar las brechas; que GitHub haga público el incidente en tres días está muy por debajo de la media del sector. El acontecimiento es un serio toque de atención para el alojamiento de código empresarial; riesgos similares se aplican a GitLab, Bitbucket y otras plataformas.