La startup de documentation Mintlify affirme que des dizaines de clients ont vu des jetons GitHub exposés lors d’une violation de données au début du mois et divulgués publiquement la semaine dernière.
Mintlify aide les développeurs à créer de la documentation pour leurs logiciels et leur code source en demandant l’accès et en exploitant directement les référentiels de code source GitHub du client. Mintlify compte parmi ses clients les startups de technologie financière, de bases de données et d’IA.
Dans un article de blog publié lundi, Mintlify a imputé l’incident du 1er mars à une vulnérabilité de ses propres systèmes, mais a déclaré que les jetons GitHub de 91 de ses clients avaient été compromis.
Ces jetons privés permettent aux utilisateurs de GitHub de partager l’accès à leur compte avec des applications tierces, notamment des sociétés comme Mintlify. Si ces jetons sont volés, un attaquant pourrait obtenir le même niveau d’accès au code source d’une personne que celui permis par le jeton.
« Les utilisateurs ont été informés et nous travaillons avec GitHub pour identifier si les jetons ont été utilisés pour accéder à des référentiels privés », a écrit Han Wang, co-fondateur de Mintlify, dans un article de blog.
La nouvelle de l’incident est devenue publique la semaine dernière lorsque certains utilisateurs de Reddit et Hacker News ont commenté après avoir reçu un e-mail de Mintlify vendredi à propos de l’incident, quelques jours après que le blog de l’entreprise ait initialement déclaré aux clients qu’« aucune autre action n’était requise de votre part ».
Dans un article sur la violation sur Hacker News, Wang a déclaré qu’une vulnérabilité dans ses systèmes permettait de divulguer les informations d’identification de l’administrateur interne de l’entreprise aux clients. Ces informations d’identification pourraient ensuite être utilisées pour accéder aux points de terminaison internes de l’entreprise afin d’accéder à d’autres informations utilisateur sensibles non spécifiées, a déclaré Wang.
Wang a déclaré que la société était en train de déconseiller l’utilisation de jetons privés « pour éviter qu’un incident comme celui-ci ne se reproduise ».
Alors que le billet de blog décrit la personne qui a découvert la vulnérabilité comme un journaliste du bug bounty, le co-fondateur de l’entreprise, Wang, a qualifié les événements de malveillants.
« Les cibles de cette attaque étaient les jetons GitHub de nos utilisateurs », a déclaré Wang à TechCrunch par e-mail.
« Les enquêtes auprès d’un client concerné ont révélé que le jeton divulgué n’était probablement pas utilisé par l’attaquant. Nous travaillons actuellement avec GitHub et nos clients pour découvrir si l’un des autres jetons a été utilisé par l’attaquant », a déclaré Wang.