Lộ dữ liệu bí mật vì đặc điểm dễ tổn thương trong API của GitLab

Trình quản lý kho lưu trữ dựa trên web phổ biến GitLab đã sửa một lỗi trong API. Tuy nhiên chính hành động này có thể đã vô tình tiết lộ dữ liệu bí mật về các dự án.
Một tham chiếu đối tượng trực tiếp không an toàn trong API sự kiện GitLab đã làm lộ các thông tin như ghi chú riêng tư, các yêu cầu hợp nhất và các sự cố.
Trong một thông báo, Giám đốc An ninh của GitLab – Kathy Wang đã viết:

“Chúng tôi phát hiện ra rằng tình trạng này bắt đầu từ ngày 22 tháng 6 năm 2017, với bản phát hành 9.3. API sự kiện của GitLab đã trả về các sự kiện riêng tư liên quan đến các dự án, và đã được đánh dấu là công khai trong khoảng thời gian đó.
Những sự kiện này bao gồm những thông tin được đánh dấu là riêng tư, chẳng hạn như các vấn đề bí mật và yêu cầu hợp nhất, cùng những thông tin khác. Vấn đề này đã tồn tại trong tất cả các phiên bản của GitLab từ bản 9.3 đến bản 11.3, và trên tất cả các lần triển khai phần mềm hoàn thiện, bao gồm cả trang GitLab.com.

Việc bị lộ các sự kiện mang tính riêng tư này chỉ xuất hiện thông qua API, trong khi giao diện người dùng vẫn hoạt động bình thường và vẫn lọc được những sự kiện này.”

GitLab đã trở nên ngày càng phổ biến kể từ khi GitHub được Microsoft mua lại. Kể từ sau lần mua lại này, số lượng nhà phát triển sử dụng công cụ của GitLab để nhập kho GitHub tăng lên đáng kể.
Công ty đã tiến hành điều tra nhật ký ghi lại 4 tháng hoạt động của GitLab sau khi phát hiện ra vấn đề của xâm phạm của HackerOne. May mắn là GitLab không tìm thấy bằng chứng cho thấy bất kỳ đối tượng trái phép nào đã truy cập vào thông tin bí mật.
“GitLab nhận thông tin và dữ liệu của bạn trên nguyên tắc cực kỳ nghiêm ngặt và đã tăng số lượng đội ngũ an ninh nội bộ lên gấp 4 lần trong 6 tháng qua, tiếp tục phát triển kế hoạch đảm bảo an ninh hơn nữa”, Wang cho biết.

“Chúng tôi sẽ rút kinh nghiệm từ sự việc lần này và xem đó như một động lực để tiếp tục cải thiện hơn nữa cho an ninh của người dùng.”

Nguồn bài viết : https://www.developer-tech.com