GitHub, alcuni dati cancellati rimangono accessibili: ma per l'azienda non è un problema

GitHub, alcuni dati cancellati rimangono accessibili: ma per l'azienda non è un problema

Un recente studio ha rivelato una falla nella sicurezza di GitHub, permettendo l'accesso a dati sensibili anche dopo la loro eliminazione. Secondo l'azienda, però, si tratta di un comportamento normale all'interno della piattaforma.

di pubblicata il , alle 12:01 nel canale Web
 

La piattaforma di sviluppo software GitHub si trova al centro di una controversia sulla sicurezza dei dati. Un'indagine condotta dagli analisti di Truffle Security ha portato alla luce una vulnerabilità significativa che mette a rischio la riservatezza delle informazioni cancellate dagli sviluppatori.

La ricerca ha rivelato che è possibile accedere a dati sensibili pubblicati su GitHub anche dopo la loro eliminazione. La falla di sicurezza riguarda non solo i repository pubblici, ma si estende anche ai fork eliminati e persino ai repository privati. Il team di ricerca ha addirittura coniato un nuovo termine per descrivere questa vulnerabilità: Cross Fork Object Reference (CFOR).

GitHub, i dati cancellati rimangono accessibili anche a terzi

Secondo i ricercatori, una vulnerabilità CFOR si verifica quando un fork di un repository GitHub può accedere a dati sensibili provenienti da un altro fork, inclusi quelli privati o precedentemente eliminati. Il nocciolo del problema risiede nel fatto che le azioni considerate "distruttive" all'interno della rete di repository di GitHub non cancellano effettivamente i dati, ma rimuovono solo i riferimenti ai commit. Ciò significa che, sebbene i commit non siano più visibili attraverso l'interfaccia utente di GitHub, rimangono accessibili se si conosce l'hash SHA-1 (o se si individua via brute-force) relativo al commit specifico.

Per dimostrare quanto dichiarato, i ricercatori di Truffle Security hanno creato un fork di un repository esistente, effettuato un commit con dati e successivamente eliminato il fork. Sorprendentemente, il commit del fork eliminato risultava ancora accessibile attraverso il repository originale, confermando che i dati persistono sui server di GitHub anche dopo la presunta eliminazione.

I commit nei repository pubblici possono contenere inavvertitamente informazioni altamente sensibili, come password o chiavi API, che possono essere ottenute conoscendo anche solo una parte dell'hash SHA-1, e non per forza l'intero hash, secondo i ricercatori . GitHub, infatti, sembra completare automaticamente le richieste di accesso diretto. Gli analisti di Truffle Security sono riusciti a recuperare 40 chiavi API valide da fork eliminati relativi a repository pubblici di una grande azienda di intelligenza artificiale.

In risposta alle nuove scoperte, GitHub ha affermato che questo comportamento è previsto e documentato sulla piattaforma, non riconoscendolo come un problema di sicurezza. Nonostante ciò, i ricercatori di Truffle rimangono convinti del fatto che la piattaforma abbia bisogno di misure per prevenire la presunta vulnerabilità. È importante notare che questa vulnerabilità non è limitata a GitHub, e altre piattaforme basate su git, come Bitbucket e GitLab, potrebbero essere soggette allo stesso problema.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
marcram30 Luglio 2024, 12:04 #1
Ovvio che per MS non sia un problema... è una feature...
Ataru22430 Luglio 2024, 12:16 #2
La prima regola di Internet non sbaglia mai: tutto ciò che è su Internet resta su Internet.

Non c'è via di scampo.
cresg8230 Luglio 2024, 13:14 #3
Originariamente inviato da: marcram
Ovvio che per MS non sia un problema... è una feature...


il "problema" era presente anche prima dell'acquisizione di MS e, in ogni caso, se si va a leggere la doc di github non è nemmeno un problema ma una cosa voluta.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^