👩‍💻 Truffle Security обнаружила потенциальную уязвимость, которая позволяет извлекать данные из удалённых форков и приватных репозиториев на GitHub. Её назвали Cross Fork Object Reference (CFOR).

Этот недостаток в системе безопасности является частью архитектуры GitHub. Аналогичные особенности, которые могут привести к случайному раскрытию конфиденциальных данных, можно найти и в архитектурах многих других систем контроля версий.

Обычный пользователь рассматривает разделение частных и общедоступных репозиториев как границу безопасности и по понятным причинам считает, что любые данные, расположенные в частном репозитории, не могут быть доступны общедоступным пользователям. К сожалению, как мы отметили в нашем исследовании, это не всегда верно. Более того, акт удаления подразумевает уничтожение данных. Как мы видим, удаление репозитория или форка не означает, что ваши данные фиксации будут фактически удалены.

Специалисты Truffle Security опубликовали лишь 3 возможных сценария атаки. Они отмечают, что способов извлечь данные может быть намного больше. Команда настаивает, что единственным способом устранения утечки данных является ротация ключей доступа.

Вообще, трюк, позволяющий получить доступ к коммитам в форках репозитория через ссылку на основной репозиторий, уже давно известен и периодически используется just for lulz. Такие дела.

#уязвимость #GitHub