استارت‌آپ مستندسازی Mintlify او میگوید ده‌ها مشتری توکن‌های GitHub را در ابتدای ماه در معرض نقض داده‌ها قرار دادند و هفته گذشته به طور عمومی افشا شدند.

Mintlify به توسعه دهندگان کمک می کند تا با درخواست دسترسی و ضربه زدن مستقیم به مخازن کد منبع GitHub مشتری، اسنادی را برای نرم افزار و کد منبع خود ایجاد کنند. Mintlify استارت آپ های فین تک، پایگاه داده و هوش مصنوعی را به عنوان مشتری به حساب می آورد.

Mintlify در یک پست وبلاگی روز دوشنبه، حادثه 1 مارس خود را ناشی از آسیب‌پذیری در سیستم‌های خود دانست، اما بيان کرد که در نتیجه 91 نفر از مشتریانش توکن‌های GitHub خود را به خطر انداخته‌اند.

این توکن های خصوصی به کاربران GitHub اجازه می دهد تا دسترسی به حساب خود را با برنامه های شخص ثالث از جمله شرکت هایی مانند Mintlify به اشتراک بگذارند. اگر این توکن‌ها دزدیده شوند، مهاجم می‌تواند به همان سطحی از دسترسی به کد منبع یک شخص که توکن اجازه می‌دهد، دست یابد.

هان وانگ، یکی از بنیانگذاران Mintlify در یک پست وبلاگی نوشت: «به کاربران اطلاع داده شده است، و ما در حال کار با GitHub هستیم تا تشخیص دهیم که آیا توکن ها برای دسترسی به مخازن خصوصی استفاده شده اند یا خیر.

اخبار این حادثه هفته گذشته زمانی که برخی از کاربران در Reddit و Hacker News پس از دریافت ایمیلی از Mintlify در روز جمعه در مورد این حادثه، اظهار نظر کردند، چند روز پس از آن که پست وبلاگ این شرکت در ابتدا به مشتریان گفت: "هیچ اقدام دیگری از طرف شما لازم نیست."

وانگ در پستی که در مورد این رخنه در هکر نیوز بحث می‌کرد، بيان کرد که یک آسیب‌پذیری در سیستم‌هایش اعتبار مدیریت داخلی شرکت را به مشتریان افشا می‌کند. وانگ گفت، این اعتبارنامه ها سپس می توانند برای دسترسی به نقاط پایانی داخلی شرکت برای دسترسی به سایر اطلاعات حساس کاربر نامشخص استفاده شوند.

وانگ بيان کرد که این شرکت در حال رد کردن استفاده از توکن‌های خصوصی است تا از تکرار چنین حادثه‌ای جلوگیری کند.

در حالی که پست وبلاگ فردی را که آسیب پذیری را کشف کرده است به عنوان یک گزارشگر پاداش باگ توصیف می کند، یکی از بنیانگذاران شرکت وانگ این رویدادها را مخرب توصیف می کند.

وانگ از طریق ایمیل به TechCrunch گفت: «هدف‌های این حمله توکن‌های GitHub کاربران ما بودند.

«تحقیقات با یکی از مشتریان آسیب دیده نشان داد که توکن لو رفته احتمالاً توسط مهاجم استفاده نشده است. وانگ گفت: ما در حال حاضر با GitHub و مشتریانمان کار می کنیم تا کشف کنیم که آیا هر یک از توکن های دیگر توسط مهاجم استفاده شده است یا خیر.

خبرکاو