GentooのGitHubアカウントが不正アクセスを受ける 18
ストーリー by headless
不正 部門より
不正 部門より
GentooがGitHubで使用している「gentoo」 organization(組織アカウント)が不正アクセスを受け、リポジトリやページの内容を書き換えられる被害にあったそうだ(Gentooのニュース記事、
Gentooメーリングリストの投稿、
BetaNewsの記事、
The Registerの記事)。
不正アクセスが発生したのは6月28日20時20分(UTC)頃。何者かがgentooアカウントの制御を奪い、リポジトリやページの改変を行ったという。ただし、Gentooのコードは自前のインフラでホストしているものがマスターであり、GitHubはミラーとして使用しているだけなので、大きな被害には至らなかったようだ。また、別のGitHubアカウントでホストしているgentoo-mirrorリポジトリは影響を受けなかったとのこと。
Gentooでは攻撃に使われたメンバーアカウントを既に特定してロックアウトしており、gentoo organizationにすべてのメンバーを再登録したという。gentoo organizationはGitHubサポートにより一時ロックされているが、不正なコミットが行われたリポジトリ「https://github.com/gentoo/gentoo」「https://github.com/gentoo/musl」「https://github.com/gentoo/systemd」は既に復旧済みとのことだ。
不正アクセスが発生したのは6月28日20時20分(UTC)頃。何者かがgentooアカウントの制御を奪い、リポジトリやページの改変を行ったという。ただし、Gentooのコードは自前のインフラでホストしているものがマスターであり、GitHubはミラーとして使用しているだけなので、大きな被害には至らなかったようだ。また、別のGitHubアカウントでホストしているgentoo-mirrorリポジトリは影響を受けなかったとのこと。
Gentooでは攻撃に使われたメンバーアカウントを既に特定してロックアウトしており、gentoo organizationにすべてのメンバーを再登録したという。gentoo organizationはGitHubサポートにより一時ロックされているが、不正なコミットが行われたリポジトリ「https://github.com/gentoo/gentoo」「https://github.com/gentoo/musl」「https://github.com/gentoo/systemd」は既に復旧済みとのことだ。
オカルト的発想 (スコア:0)
>何者かがgentooアカウントの制御を奪い
誰も操作していない、とあるメンバーのPCのキーボードが夜中になって
いきなり勝手にカタカタと音を立ててGitHubにアクセスを始め・・・
というシーンが頭に浮かんだ
Re: (スコア:0)
猫か
Re: (スコア:0)
遂に猫もオープンソースにコミットする時代になったか・・・
Re: (スコア:0)
猫がIssueを発行した事例[1]はすでにありますね
[1]: https://github.com/antirez/redis/issues/3909 [github.com]
Re: (スコア:0)
ジョークでそういうの作ったことある。
見た目USBメモリなんだけど、刺してから1時間ぐらいでキーボードとして認識され、「Windowsキー+R→notepad→Enter→I'm looking you ○○○○○(名前)」とタイプするやつ。
DVD映画を見始める直前の彼氏のパソコンに刺しておいたら、いい感じに「ヒエッ」と声をあげてくれた。
# 危険なのでAC
Re: (スコア:0)
2014年に流行ったBadUSBってやつかしら。
それ以外に手軽にやる方法が思い浮かばない(というかだから話題になったわけだし)。
Re: (スコア:0)
現物USBじゃなくて見た目USB、つまり中身は別物でいい。
8bitマイコンでUSB触れる奴(最悪V-USBとかソフトウェアUSBでもいい)使ってHIDデバイス構成すれば出来るはず。
ソフトウェアUSBでHIDデバイスとして動く HIDasp [binzume.net]とか2007年には出てる。
USBasp [fischl.de]だと2005年以前からあるっぽいね。
ハードウェアでUSBサポートしてる8bitマイコンはそんなメジャーじゃなかったから
非常に悪質な改変 (スコア:0)
改変されたebuildにはすべてrm -rf /が入っていたとのことなので、
emergeするユーザーは必ずebuildの中身を先に確認するように注意してください。
Re: (スコア:0)
悪質というか…
今は一応確認するんだろ?
yesと組み合わせてたら無意味なんだろうけど…
rm -rf / 無敵だな
WSLの登場で免疫の無い層がまた引っかかりそうだな
Re: (スコア:0)
非常に悪質な釣り
Re: (スコア:0)
改変されたebuildにはすべてrm -rf /が入っていたとのことなので、
sandboxがエラー報告して止まりそうだけど
どういう経緯で侵入されたかとか (スコア:0)
かなり重要だと思うんだけど後々ちゃんと出てくるのかなー
以前kernel.orgが侵入されて大騒ぎになったのも結局詳細は全然公にされてないよね
言っちゃだめだ (スコア:0)
でもM$に買収されてから、こういうのが爆発的に増えた印象ある。
そうでもないんだろうか?全数を調べられないから分からないけども。
まんま「福島で原発事故のあと、鼻血が出たり体調を崩す人が増えた」とか書いてた漫画家と同じ発想だな。
全数を調べられないにせよ、せめて「こういうの」をリスト化し、それ以前と比較するぐらいはしたらどうだ?
そうでなきゃただのデマ、しかも特定の相手を貶める悪質なモノでしかないっていい加減、学べよ。
釣られろと言われたので (スコア:0)
オープンソース原理主義者最悪だな!
Re: (スコア:0)
今となってはマイクロソフトもオープンソースの支援企業になったので、オープンソース原理主義者というよりは、時代の流れに取り残された厨二病と言わざるを得ない。
Re: (スコア:0)
オカルト的発想ですね。