Mintlify 公開 GitHub 令牌洩露事件
Mintlify 公司發生資料洩露事件
近日檔案製作新創公司 Mintlify 聲稱數十名客戶的 GitHub 令牌在本月初的一次資料洩露事件中受到曝光,並在上週公開披露此一事件。Mintlify 是一家致力於幫助開發者建立軟體和源程式碼檔案的公司,其作法是要求取得存取許可權,並直接接入客戶的 GitHub 源程式碼庫。Mintlify 的客戶群包括金融科技、資料庫和人工智慧新創公司。事件起因及影響
Mintlify 在週一的一篇部落格文章中責怪其 3 月 1 日的事件源於其自身系統的漏洞,但表示 91 名客戶的 GitHub 令牌因此被破壞。這些私人令牌允許 GitHub 使用者與第三方應用程式共享其帳戶存取許可權,包括像 Mintlify 這樣的公司。如果這些令牌被竊取,攻擊者可能獲得與令牌允許的一樣的存取許可權,從而獲得使用者源程式碼的存取許可權。Mintlify 聯合創始人 Han Wang 在一篇部落格文章中寫道:"已通知使用者,我們正在與 GitHub 合作,以確保這些令牌是否被用於存取私人庫。"事件公開和應對措施
事件的訊息在上週公開,當時一些 Reddit 和 Hacker News 上的使用者在上週五收到 Mintlify 的郵件後發表了評論。據理解,公司的部落格最初告知客戶"您無需採取進一步的行動"。在 Hacker News 上討論此次事件時,Wang 表示其系統中的漏洞導致公司的內部管理員認證訊息外洩,從而被用於存取公司的內部端點,從而取得其他未指明的敏感使用者訊息。 Wang 表示公司正處於停用私人令牌的過程中,以"防止再次發生此類事件"。儘管部落格文章描述了發現漏洞的人士為一名線報獎金報告員,但該公司的聯合創始人王將此事件描述為惡意行為。他在一封電子郵件中告訴 TechCrunch 說:"此次攻擊的物件是我們使用者的 GitHub 令牌。與一名受影響客戶的調查顯示,泄露的令牌可能未被攻擊者使用。我們當前正在與 GitHub 和客戶一起查明攻擊者是否使用了其他令牌。"風險和建議
此次事件引起了業界對於個人敏感訊息保護的關注。使用者應當密切關注其 GitHub 帳戶的活動,並及時更換令牌來減輕潛在的風險。同時公司應該加固對於系統漏洞的監控和應對能力,以保護客戶資料的安全。 此次事件還呼籲了相關公司,特別是處理第三方應用程式存取許可權的公司,加固內部控制和安全監控,以確保使用者資料的安全性。業界應該加固共享令牌和存取許可權的風險管控和監控,以應對可能的外部攻擊和內部不當行為。結語
這次 Mintlify 的 GitHub 令牌洩露事件再次提醒我們對於個人資料安全的重視。企業應該不斷完善其安全措施,保護使用者的資料不受侵害。同時使用者也應該增強對於個人資料的保護意識,積極監控自身帳戶的活動,以減少受到風險的可能性。 最後相關單位和監管機構也應提供相應的指導和規範,加固對於敏感資料保護的監管和風險防控,以促進資料安全的形成和發展。Cybersecurity-Mintlify,GitHub,令牌,資料洩露,曝光