{"id":220224,"date":"2019-07-07T02:18:25","date_gmt":"2019-07-07T00:18:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220224"},"modified":"2022-02-21T08:17:43","modified_gmt":"2022-02-21T07:17:43","slug":"canonical-github-seite-gehackt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/07\/canonical-github-seite-gehackt\/","title":{"rendered":"Canonical GitHub-Seite gehackt?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Es schaut so aus, als ob eine GitHub-Seite des Ubuntu-Entwicklers Canonical gehackt sein k\u00f6nnte \u2013 zumindest deutet ein Tweet dies so an. <strong>Erg\u00e4nzung:<\/strong> Cannonicals GitHub-Seite wurde gehackt. Hier ein paar Informationen, was ich bisher wei\u00df.&nbsp; <\/p>\n<p><!--more--><\/p>\n<h2>Ein kryptischer Tweet <img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/e7710fdd4d9a4337be6401e66bc4f863\" width=\"1\" height=\"1\"\/><\/h2>\n<p>Aktuell kann ich mit dem folgenden Tweet, der mit vor vor einigen Minuten unter die Augen gekommen ist, nichts anfangen \u2013 der Tweet deutet aber auf einen Hack der Cannonical GitHub-Seite hin.&nbsp; <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">Ouch <a href=\"https:\/\/t.co\/eBqW0TJHTV\">https:\/\/t.co\/eBqW0TJHTV<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Ubuntu?src=hash&amp;ref_src=twsrc%5Etfw\">#Ubuntu<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Canonical?src=hash&amp;ref_src=twsrc%5Etfw\">#Canonical<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/s%C3%A9curit%C3%A9?src=hash&amp;ref_src=twsrc%5Etfw\">#s\u00e9curit\u00e9<\/a> <a href=\"https:\/\/t.co\/KYPVFO5G7U\">pic.twitter.com\/KYPVFO5G7U<\/a><\/p>\n<p>\u2014 Damien Clauzel (@dclauzel) <a href=\"https:\/\/twitter.com\/dclauzel\/status\/1147525512794988544?ref_src=twsrc%5Etfw\">6. Juli 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Rufe ich die <a href=\"https:\/\/github.com\/CanonicalLtd\" target=\"_blank\" rel=\"noopener noreferrer\">GitHub-Seite<\/a> von Canonical auf, sieht alles normal aus \u2013 und auch im Web finde ich nichts \u00fcber einen Hack. Was mich aber stutzig macht: Bei einer Suche \u00fcber Google <a href=\"https:\/\/github.com\/canonical-web-and-design\/ubuntu.com\/blob\/master\/HACKING.md\" target=\"_blank\" rel=\"noopener noreferrer\">finde <\/a><a href=\"https:\/\/github.com\/canonical-web-and-design\/ubuntu.com\/blob\/master\/HACKING.md\" target=\"_blank\" rel=\"noopener noreferrer\">ich<\/a> <a href=\"https:\/\/github.com\/canonical-web-and-design\/ubuntu.com\/blob\/master\/HACKING.md\" target=\"_blank\" rel=\"noopener noreferrer\">hier <\/a>noch die Datei HACKING.md, allerdings mit einer sinnvollen Projektbeschreibung.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Canonical GitHub-Seite mit merkw&uuml;rdigem Dateinamen\" alt=\"Canonical GitHub-Seite mit merkw&uuml;rdigem Dateinamen\" src=\"https:\/\/i.imgur.com\/d6RHc7i.jpg\" width=\"625\" height=\"531\"\/><\/p>\n<p>Ich habe mal den obigen Screenshot als Beweis angefertigt, dass dort irgend etwas im Busch ist. <\/p>\n<h2>Nachtrag: Der Hack ist best\u00e4tigt<\/h2>\n<p>Danke an Thomas Dreier f\u00fcr seinen nachfolgenden Kommentar. Als ich beim Erstellen der ersten Fassung dieses Beitrags gesucht habe, bin ich noch nicht f\u00fcndig geworden. Auf Hacker News ist nun in <a href=\"https:\/\/web.archive.org\/web\/20210505111839\/https:\/\/news.ycombinator.com\/item?id=20373009\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Post<\/a> die Best\u00e4tigung ver\u00f6ffentlicht worden. <\/p>\n<blockquote>\n<p>Hijacking top comment&#8230;  <\/p>\n<p>We can confirm that on 2019-07-06 there was a Canonical owned account on GitHub whose credentials were compromised and used to create repositories and issues among other activities. Canonical has removed the compromised account from the Canonical organisation in GitHub and is still investigating the extent of the breach, but there is no indication at this point that any source code or PII was affected.  <\/p>\n<p>Furthermore, the Launchpad infrastructure where the Ubuntu distribution is built and maintained is disconnected from GitHub and there is also no indication that it has been affected.  <\/p>\n<p>We plan to post a public update after our investigation, audit and remediations are finished.  <\/p>\n<p>Thank you, your trust in Canonical is important to us, which is why we make privacy and security a priority.  <\/p>\n<p>-David on behalf of Canonical<\/p>\n<\/blockquote>\n<p>Ein Benutzer mit dem Namen David (k\u00f6nnte <a href=\"https:\/\/www.linkedin.com\/in\/david-britton-6b88818\" target=\"_blank\" rel=\"noopener noreferrer\">David Britton<\/a> sein), best\u00e4tigte vor einigen Stunden, dass ein von Canonical bei GitHub eingerichtetes Konto am 6. Juni 2019 kompromittiert worden sei. Offenbar wurden Anmeldedaten des Kontos erbeutet und dazu missbraucht, um Repositories zu erzeugen und andere Aktivit\u00e4ten vorzunehmen.  <\/p>\n<p>Canonical hat das kompromittierte Konto aus der Canonical-Organisation in GitHub entfernt. Zur Zeit untersucht man das Ausma\u00df des Hacks, hat aber aktuell keine Hinweise darauf, dass der Quellcode oder PII betroffen waren. Die Launchpad-Infrastruktur, in der die Ubuntu-Distribution aufgebaut und gewartet wird, ist zudem von GitHub getrennt und es gibt auch keinen Hinweis darauf, dass diese betroffen ist. Ubuntu d\u00fcrfte also sicher sein. Das Ubuntu-Team plant zu einem sp\u00e4teren Zeitpunkt ein Update zu diesem Vorfall zu ver\u00f6ffentlichen.  <\/p>\n<p><img decoding=\"async\" title=\"Canonical GitHub-Seite mit Hack-Signatur\" alt=\"Canonical GitHub-Seite mit Hack-Signatur\" src=\"https:\/\/i.imgur.com\/qddcNpD.jpg\"\/>  <\/p>\n<p>Inzwischen hat ZDNet.com <a href=\"https:\/\/www.zdnet.com\/article\/canonical-github-account-hacked-ubuntu-source-code-safe\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Artikel<\/a> zum Hack ver\u00f6ffentlicht, der aber im wesentlichen auch nur obige Details wiedergibt. Auf Webarchive gibt es aber <a href=\"https:\/\/web.archive.org\/web\/20190706144600\/https:\/\/github.com\/CanonicalLtd\" target=\"_blank\" rel=\"noopener noreferrer\">diese gespiegelte Fassung<\/a> des Canonical GitHub-Kontos (siehe obiger Screenshot). Dort sind noch die 11 ge\u00e4nderten Dateien des Kontos einsehbar.  <\/p>\n<p>Das Ganze ist wohl nicht der erste Vorfall \u2013 hier im Blog und im Web finden sich immer wieder Meldungen, dass die Infrastruktur f\u00fcr Linux-Distributionen gehackt wurde und dort Dateien ver\u00e4ndert wurden. K\u00fcrzlich hatten Hacker verschiedene Git-Quellcode-Repositories von Entwicklern ver\u00e4ndert und forderten L\u00f6segeld (siehe Links am Artikelende). Selbst die Ubuntu Foren wurden im Jahr 2013 gehackt, wie ZDNet in obigem Artikel erw\u00e4hnt. <\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">I'm mostly interested if existing repos were modified in any way. It'd be easy to cover that up w\/ git magic<\/p>\n<p>\u2014 Dylan Katz (@Plazmaz) <a href=\"https:\/\/twitter.com\/Plazmaz\/status\/1147660380983848960?ref_src=twsrc%5Etfw\">7. Juli 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Zwei Tage vor dem Canonical GitHub-Vorfall entdeckte das Cybersicherheitsunternehmen Bad Packets internetweite Scans nach Git-Konfigurationsdateien. Solche Dateien k\u00f6nnen oft Anmeldedaten f\u00fcr Git-Konten enthalten, wie z.B. diejenigen, die zur Verwaltung von Code auf GitHub.com verwendet werden. Auch auf The Hacker News findet sich jetzt <a href=\"https:\/\/thehackernews.com\/2019\/07\/canonical-ubuntu-github-hacked.html\" target=\"_blank\" rel=\"noopener noreferrer\">ein Artikel<\/a> zum Thema. Wie es ausschaut, ist meine initiale Meldung in Form dieses urspr\u00fcnglichen Blog-Posts wohl weltweit eine der ersten Berichte zum Thema gewesen. <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/05\/04\/erpressung-hacker-lschen-git-quellcode-repositories\/\">Erpressung: Hacker l\u00f6schen Git-Quellcode-Repositories<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2018\/10\/22\/github-ausfall-in-den-vergangenen-stunden\/\">GitHub: Ausfall in den vergangenen Stunden<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es schaut so aus, als ob eine GitHub-Seite des Ubuntu-Entwicklers Canonical gehackt sein k\u00f6nnte \u2013 zumindest deutet ein Tweet dies so an. Erg\u00e4nzung: Cannonicals GitHub-Seite wurde gehackt. Hier ein paar Informationen, was ich bisher wei\u00df.&nbsp;<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-220224","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220224","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=220224"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/220224\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=220224"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=220224"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=220224"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}