Giriş
Datadog Security Labs, GitHub API’si aracılığıyla kurumsal organizasyonlar, depo ve kullanıcı hesaplarının sistematik olarak tarif edildiğini bildiren “birden fazla üst üste gelen kampanya” konusunda uyarıda bulundu. Bu durum, güvenlik açığı ve veri sızıntılarını artırarak kurumsal güvenliğe ciddi tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
Operatörler, GitHub ‘da “hayalet” hesapları kullanarak, genellikle yıllardır aktif olmayan ya da ele geçirilmiş OAuth token’ları ve kişisel erişim token’ları (PAT) ile tespit çalışmaları yapmaktadır. Datadog güvenlik mühendisi Julie Agnes Sparks, “Operatörler, meşru görünen kullanıcı ajanlarını ve otomatik tarama araçlarını kullanarak saldırı gerçekleştiriyor” dedi.
Kampanya, genelde kamu verilerini hedef almasına rağmen, bazı durumlarda özel depoların başarılı bir şekilde kopyalanmasıyla da sonuçlanmıştır. Öne çıkan özelliklerden biri de, 50’den fazla uyku halinde hesap ve kişisel erişim token’larının (PAT) ifşa edildiği veya başka yollarla ele geçirildiği birçok meşru hesabın bir araya getirilmesidir.
Etkilenen Sistemler
“Hayalet” hesaplar, iki ila beş yıl önce oluşturulmuş olup, bu süre zarfında bilinçli olarak pasif bırakılmıştır. Bu hesapların kullanılması, API trafiğinin çoklu organizasyonlarda yayılmasını sağlamak için stratejik bir hamledir. Hedef, herhangi bir alarm vermeden legitim gibi görünen aktiviteler yaratmaktır.
GitHub API’sinin büyük bir kısmı, kimlik doğrulama gerektirmeden erişilebilir olduğundan, listeleme sorguları gerekli verileri sunmakta ve normal API kullanımında kaybolmaktadır. Öne çıkan bazı sorgulama çeşitleri şunlardır:
- Bir organizasyonun kamuya açık depolarını listelemek
- Bireysel kullanıcıların takipçi ve takip edilen listelerini incelemek
- Gist, favori depolar ve organizasyon üyeliklerini listelemek
- Kamuya açık nesneler üzerinde GraphQL sorgulamaları yapmak
Bu bilgiler, bir tehdit aktörünün hedef organizasyonun GitHub ile ilgili faaliyetlerini programatik olarak haritalandırmasını sağlar.
Çözüm ve Korunma
Veri erişiminin bazı senaryolarda doğrulandığı ve saldırganların tek bir organizasyona ait bir özel depoyu kopyalamaya yönelik adımlar attığı bildirilmiştir. “Bu talepler tek başına dikkate değer değil. Kamuya açık uç noktalara hitap etmekte, temiz bir şekilde kimlik doğrulaması yapılmakta ya da hiç yapılmamaktadır” diyen Datadog, endişenin toplu hareket eden hesaplardan kaynaklandığını vurgulamaktadır.
Sonuç
GitHub üzerinde güvenliğinizi sağlamak için aşağıdaki adımları izleyin:
- PAT’leri ve OAuth token’larınızı düzenli olarak değiştirin.
- GitHub ayarlarınızı gözden geçirerek izinleri sınırlandırın.
- Eski veya kullanılmayan hesaplarınızı silin veya devre dışı bırakın.
- API erişimlerinizi dikkatlice izleyin ve anormal aktiviteleri rapor edin.
Bu adımlar, potansiyel veri sızıntılarını ve saldırıları engelleyerek, kurumsal güvenliğinizi önemli ölçüde artıracaktır.


