Github gehackt

05.03.2012

Ein gutwilliger Hacker hat eine Sicherheitslücke im Github-Code ausgenutzt, um sich unberechtigten Zugang zum Rails-Projekt zu verschaffen.

Der Hacker und Programmierer Egor Homakov hat eine Sicherheitslücke im Code von der Git-Repository-Site Github ausgenutzt, um sich Zugang zum Projekt Ruby on Rails zu verschaffen. Durch einen schon länger bekannten Fehler beim so genannten Mass Assignment in Rails, das auch von Github selbst verwendet wird, konnte Homakov seinen Public Key dem Projekt hinzufügen und somit Schreibzugriff auf das Rails-Repository erlangen. Wie er in seinem Blog behauptet, wurden seine Hinweise auf die Lücke zuerst ignoriert, woraufhin er sich zu dem öffentlichwirksamen Hack entschloss. Nachdem Github den Fehler behoben hatte, begann er damit, seinen Einbruch zu dokumentieren.

Github hat Homakovs Benutzeraccount zwischenzeitlich geschlossen und unterzieht den gesamten eingesetzten Rails-Code einem Security Audit. In Zukunft sollen solche Audits regelmäßig durchgeführt werden, um ähnliche Fehler zu vermeiden, wie der entsprechende Blog-Eintrag das Github-Gründers Tom Preston-Werner verspricht. Nach einer Diskussion um das angebliche Fehlverhalten Homakovs hat Github seinen Account wieder aktiviert und eine weitere Stellungnahme zum eigenen Verhalten bei dem Vorgang veröffentlicht. In einer Diskussion zum Thema weist der Rails-Core-Entwickler Yehuda Katz darauf hin, dass sich letztlich nicht alle Sicherheitsprobleme durch Webframeworks verhindern lassen. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Sicherheits-Bugfix für Ruby on Rails

Ein eigentlich zum Schutz gegen Cross Site Request Forgery gedachtes Modul in Ruby on Rails weist selbst sicherheitskritische Fehler auf.

Artikel der Woche

Was beim Sniffen erlaubt ist und was nicht

Ein Unternehmer möchte Fehlern in seinem Netz auf den Grund gehen und den Netzwerkverkehr aufzeichnen, um ihn zu analysieren. Was aber sagt das Datenschutzrecht dazu? (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Ausgabe /2014

Was halten Sie von Zertifizierungen, die Fachkenntnisse und Fertigkeiten nachweisen?

  • Sie sind in der Praxis nutzlos
  • Sind für uns ein wichtiges Einstellungskriterium
  • Liefern einen Anhaltspunkt für die Qualifikation

Microsoft Azure