Rò rỉ dữ liệu GitHub đang được điều tra sau khi một tác nhân đe dọa tự xưng là TeamPCP tuyên bố đã xâm nhập vào hệ thống nội bộ của GitHub, từ đó đánh cắp dữ liệu tổ chức và mã nguồn độc quyền. Nhóm này nói rằng dữ liệu bị chiếm đoạt đang được rao bán trên các diễn đàn tội phạm mạng với mức chào mua vượt 50.000 USD.
GitHub xác nhận đang điều tra rò rỉ dữ liệu
GitHub cho biết đang điều tra việc truy cập trái phép vào các kho lưu trữ nội bộ. Trong thông báo công khai, công ty nêu rõ hiện chưa có bằng chứng cho thấy dữ liệu khách hàng bên ngoài các repository nội bộ của GitHub bị ảnh hưởng, bao gồm các enterprise, organization và repository của khách hàng.
Thông tin này cho thấy đây là một vụ rò rỉ dữ liệu đang trong quá trình xác minh, chưa được GitHub xác nhận về phạm vi ảnh hưởng thực tế. Tuy nhiên, việc xuất hiện danh sách tệp công khai và ảnh chụp màn hình các tên archive repository làm tăng mức độ cần theo dõi của vụ tin tức bảo mật này.
Các dữ liệu bị cáo buộc bị đánh cắp
Theo tuyên bố của tác nhân đe dọa, dữ liệu bị xâm nhập liên quan trực tiếp đến khoảng 4.000 private repositories gắn với nền tảng chính của GitHub. Nhóm này cũng nói rằng họ có thể cung cấp mẫu dữ liệu cho người mua nghiêm túc để chứng minh tính xác thực.
Cho đến thời điểm hiện tại, GitHub chưa công bố cách thức truy cập trái phép được thực hiện, cũng chưa xác nhận hay phủ nhận số lượng repository bị ảnh hưởng. Điều này khiến đánh giá mức độ rủi ro bảo mật vẫn phụ thuộc vào kết quả điều tra nội bộ.
Dấu hiệu được công bố công khai
- Public file list được dùng để chứng minh quyền truy cập.
- Screenshot hiển thị nhiều tên repository archive.
- Chào bán dữ liệu trên diễn đàn tội phạm mạng với mức giá từ 50.000 USD trở lên.
Nhóm TeamPCP và mối liên hệ với UNC6780
TeamPCP được Google Threat Intelligence Group theo dõi dưới định danh UNC6780. Đây là một nhóm có năng lực cao, thiên về động cơ tài chính, và được ghi nhận với các chiến dịch tấn công chuỗi cung ứng liên môi trường.
Nhóm này được mô tả là có mô hình vận hành tận dụng CI/CD credentials bị đánh cắp và privileged access tokens để mở rộng quyền truy cập sâu hơn trong hạ tầng mục tiêu. Mẫu hành vi đó làm cho tuyên bố về vụ rò rỉ dữ liệu hiện tại có cơ sở kỹ thuật cần được xem xét nghiêm túc.
Tham khảo thêm thông tin nền về định danh UNC6780 tại nguồn phân tích cộng đồng: SANS ISC Diary.
Ảnh hưởng hệ thống và phạm vi rủi ro
Ở thời điểm hiện tại, GitHub cho biết chưa có bằng chứng cho thấy dữ liệu khách hàng nằm ngoài các repository nội bộ bị tác động. Tuy nhiên, nếu thông tin bị rò rỉ là chính xác, tác động có thể bao gồm:
- Mã nguồn nội bộ bị lộ.
- Thông tin tổ chức và cấu trúc kho lưu trữ bị tiết lộ.
- Rủi ro chuỗi cung ứng nếu source code hoặc asset liên quan bị tái sử dụng.
- Nguy cơ xâm nhập tiếp theo nếu kẻ tấn công tận dụng dữ liệu đã chiếm được để mở rộng truy cập.
Với các vụ tấn công mạng dạng này, yếu tố quan trọng nhất là xác minh xem dữ liệu nào đã bị truy cập, thời điểm truy cập, và liệu có dấu hiệu duy trì hiện diện trong hạ tầng hay không.
Trạng thái điều tra và thông báo
GitHub cho biết sẽ thông báo cho khách hàng thông qua các kênh ứng phó sự cố và thông báo chính thức nếu phát hiện tác động thực tế. Công ty cũng nói rằng họ đang tiếp tục giám sát hạ tầng để tìm dấu hiệu hoạt động theo sau.
Hiện chưa có IOC kỹ thuật cụ thể như hash, IP, domain hay tên malware được công bố trong nội dung nguồn. Vì vậy, chưa thể trích xuất danh sách IOC theo chuẩn phân tích sự cố. Nội dung hiện tại chỉ xác nhận có dấu hiệu truy cập trái phép và đang ở giai đoạn điều tra rò rỉ dữ liệu.
Điểm cần theo dõi trong các bản cập nhật tiếp theo
- Phạm vi thực tế của rò rỉ dữ liệu.
- Cách thức truy cập ban đầu vào hệ thống nội bộ.
- Xác nhận về số lượng repository bị ảnh hưởng.
- Bằng chứng về việc dữ liệu có bị phát tán hoặc bán ra ngoài hay không.
Liên kết đối chiếu thông tin
Để đối chiếu các thông báo bảo mật và theo dõi cập nhật chính thức, có thể tham khảo trang cảnh báo của CISA Cybersecurity Advisories và các nguồn công bố của GitHub khi có thông tin mới.
Với bối cảnh hiện tại, vụ việc tiếp tục được xếp vào nhóm tin tức an ninh mạng cần theo dõi, nhất là khi có thêm dữ liệu xác thực về mức độ rò rỉ dữ liệu và tác động đến kho lưu trữ nội bộ.
