全球最大的代碼代管平台 GitHub 傳出重大安全事故。官方證實其內部儲存庫遭到未經授權的訪問,引發開發者社群高度恐慌。幣安創辦人 CZ(趙長鵬)隨即在社交平台發文示警,呼籲所有開發者立即檢查並更換代碼中的敏感憑證。
GitHub 官方證實內部數據遭非法訪問
GitHub 官方於今日(20日)上午證實,正在調查一起內部儲存庫遭未經授權訪問的事件。官方在推文中指出,目前尚未發現證據顯示此事件影響到存儲於內部倉庫之外的客戶資訊(如企業、組織或一般客戶的儲存庫)。並表示正嚴密監控基礎設施,並承諾若發現任何客戶受影響,將第一時間透過官方渠道通知。
受駭個案:Grafana Labs 遭駭客勒索
就在 GitHub 爆出漏洞的同時,數據監控服務商 Grafana Labs 也發布了事故報告,成為了此次事件中最具代表性的受害案例之一。
報告指出,駭客鎖定了 Grafana 在 GitHub 上的自動化工具(GitHub Actions)。透過一場代號為「Mini Shai-Hulud」的供應鏈攻擊,駭客成功騙取了進入 GitHub 的「通行證」。
在 GitHub 內部環境動盪之際,Grafana 雖然更換了大部分權限,卻遺漏了一個關鍵 token。這把遺留的「鑰匙」讓駭客得以在合法授權的偽裝下,繞過 GitHub 的所有保護機制,直接下載了 Grafana 的完整原始碼及內部業務數據。
駭客在下載代碼後隨即提出勒索,威脅將公開原始碼。Grafana 已正式宣布拒絕支付贖金,並強調程式碼雖被下載但未受篡改,且生產系統依然安全。
這次事件凸顯了 GitHub 作為平台方與 Grafana 作為用戶方之間脆弱的安全紐帶。如果 GitHub 內部儲存庫被入侵,代表平台本身可能存在尚未公開的架構漏洞,這會讓所有依賴 GitHub 進行開發的公司暴露在風險中。
CZ 緊急示警:私有儲存庫不再安全
針對此事件,CZ 在 Twitter 上轉發消息並嚴肅提醒:「如果你的代碼中含有 API 金鑰(即使是存在私有儲存庫中),現在是時候進行複查並更換它們了。」
這項建議反映了資安領域的長期擔憂:一旦 GitHub 內部架構受損,即使是設定為「私有」的代碼庫也可能面臨洩漏風險,駭客可藉此提取金鑰進而攻擊更深層的金融或生產系統。
