Gefahr auf GitHub: Private und gelöschte Repositories öffentlich einsehbar

Sie befinden sich: Home > Webmaster News

GitHub, eine der beliebtesten Plattformen für die Verwaltung und Versionierung von Quellcode, steht aufgrund von Sicherheitslücken unter Beschuss. Viele Entwickler:innen glauben, dass ihre privaten oder gelöschten Repositories sicher sind, doch dies ist oft nicht der Fall. In diesem Artikel erfahren Sie, warum gelöschte und private Repositories weiterhin zugänglich bleiben können, welche Risiken daraus entstehen und welche Maßnahmen Sie ergreifen können, um sich zu schützen.

Was ist GitHub und wie funktioniert es?

GitHub ist eine Plattform für Softwareentwicklung und Versionskontrolle, die es Entwickler:innen ermöglicht, Code zu speichern, zu verwalten und zu teilen. Eine der Kernfunktionen von GitHub ist das Versionskontrollsystem, das es ermöglicht, Änderungen am Code nachzuverfolgen und ältere Versionen wiederherzustellen. Ein zentrales Konzept dabei sind die sogenannten Repositorys, in denen der Code und alle Änderungen gespeichert werden.

Forking, Pull Requests und Merging

Ein Fork ist eine Kopie eines Repositorys, die es Nutzer:innen ermöglicht, Änderungen vorzunehmen, ohne das Original zu beeinflussen. Diese Änderungen können über Pull Requests an den ursprünglichen Projekteigentümer gesendet werden, der sie überprüfen und genehmigen kann. Wenn die Änderungen akzeptiert werden, werden sie in das ursprüngliche Repository integriert, ein Vorgang, der als Merging bezeichnet wird.

Durch diese Funktionen können Entwickler:innen effizient zusammenarbeiten, Code teilen und neue Funktionen entwickeln, ohne das Risiko einzugehen, das Hauptprojekt zu destabilisieren. GitHub unterstützt zahlreiche Programmiersprachen und ist mit vielen Entwicklungswerkzeugen und -diensten integriert, was es zu einer unverzichtbaren Ressource für die Softwareentwicklung macht.

Wie gelöschte und private Daten auf GitHub einsehbar bleiben

Problem mit Commit-Hashes

Die Sicherheitsexpert:innen haben herausgefunden, dass gelöschte und private Repositorys weiterhin eingesehen werden können, wenn man die Hash-Nummer des Commits kennt. Ein Commit-Hash ist eine eindeutige Zeichenfolge, die jede Änderung in einem Repository identifiziert. Diese Hashes sind notwendig, um spezifische Änderungen zu verfolgen und wiederherzustellen.

Wenn Änderungen an einem Fork vorgenommen und dieser dann gelöscht wird, bleiben die Commit-Hashes bestehen. Jeder, der diese Hashes kennt, kann weiterhin auf die gelöschten Daten zugreifen, indem er sie direkt in die URL auf GitHub eingibt. Dies stellt ein erhebliches Sicherheitsrisiko dar, da sensible Informationen offengelegt werden können.

Probleme bei privaten Repositorys

Ein ähnliches Problem tritt bei privaten Repositorys auf. Diese sind so konzipiert, dass sie nur für bestimmte Nutzer:innen zugänglich sind. Wenn ein privates Repository veröffentlicht wird, werden alle vorherigen Änderungen und Forks ebenfalls öffentlich. Dies bedeutet, dass Informationen, die in einem privaten Repository sicher schienen, plötzlich für alle zugänglich sind.

Diese Problematik wird durch die Art und Weise, wie GitHub Commit-Hashes handhabt, noch verschärft. Ein Hash ist eine lange Zeichenfolge, die Änderungen eindeutig identifiziert. Während diese Zeichenfolge theoretisch sicher ist, kann sie durch Brute-Force-Angriffe oder durch gezielte Suche nach kürzeren, weniger sicheren Hashes kompromittiert werden.

Warum diese Sicherheitslücke ein Problem für GitHub sein kann

Risiken für Unternehmen

Unternehmen nutzen GitHub häufig, um Code zu speichern und gemeinsam daran zu arbeiten. Dabei können auch vertrauliche Informationen wie API-Token oder Zugangsdaten gespeichert werden. Wenn solche Daten in privaten Forks gespeichert und dann gelöscht werden, besteht die Gefahr, dass sie trotzdem zugänglich bleiben. Angreifer könnten diese Informationen nutzen, um Schaden anzurichten oder Zugang zu internen Systemen zu erhalten.

Ein reales Szenario könnte wie folgt aussehen: Ein Unternehmen entwickelt eine Anwendung und speichert den Quellcode auf GitHub. Entwickler:innen erstellen Forks des Repositorys, um neue Funktionen zu testen oder Fehler zu beheben. Diese Forks enthalten möglicherweise API-Token, die für den Zugriff auf andere interne Systeme des Unternehmens verwendet werden. Wenn diese Forks gelöscht werden, bleiben die Daten über die Commit-Hashes zugänglich, was bedeutet, dass Angreifer diese Informationen nutzen könnten, um sich unautorisierten Zugang zu verschaffen.

Risiken für Privatpersonen

Auch Privatpersonen können betroffen sein. Wenn sie sensible Daten wie Passwörter oder persönliche Informationen in ihren Repositories speichern und diese dann löschen, bleiben diese Daten dennoch zugänglich. Dies kann zu Identitätsdiebstahl oder anderen Sicherheitsproblemen führen.

Beispielsweise könnte ein Entwickler einen Fork erstellen, um eine private Anwendung zu testen, und dabei unbeabsichtigt sensible Informationen wie Zugangsdaten oder persönliche Notizen im Code belassen. Selbst wenn der Fork gelöscht wird, bleiben diese Informationen über die Commit-Hashes zugänglich. Dies stellt ein erhebliches Risiko dar, insbesondere wenn die Informationen in falsche Hände geraten.

Wie ihr euch auf GitHub davor schützt

Regelmäßiger Austausch von API-Keys

Eine der wichtigsten Maßnahmen ist der regelmäßige Austausch von API-Keys. API-Keys sind Zugangsdaten, die häufig in Repositories gespeichert werden, um auf externe Dienste zuzugreifen. Durch den regelmäßigen Austausch dieser Schlüssel können alte, möglicherweise kompromittierte Schlüssel deaktiviert und der Zugang für Unbefugte verhindert werden.

Nutzer:innen sollten eine Routine entwickeln, um ihre API-Keys regelmäßig zu ändern. Dies könnte monatlich oder nach jedem größeren Projekt-Update geschehen. Ein gut dokumentierter Prozess zur Verwaltung und zum Austausch von API-Keys hilft dabei, sicherzustellen, dass keine Schlüssel übersehen werden.

Überprüfung der Repositories

Nutzer:innen sollten regelmäßig ihre Repositories überprüfen, um sicherzustellen, dass keine sensiblen Daten in privaten oder gelöschten Forks vorhanden sind. Dies kann durch manuelle Überprüfung oder automatisierte Tools erfolgen, die nach sensiblen Informationen suchen.

Ein gründlicher Audit-Plan sollte implementiert werden, um alle Repositories auf sensiblen Inhalt zu überprüfen. Automatisierte Tools können hierbei helfen, indem sie nach typischen Mustern suchen, die auf vertrauliche Daten hinweisen, wie beispielsweise API-Keys, Passwörter oder persönliche Informationen.

Sicherstellung der Privatsphäre-Einstellungen

Es ist wichtig, die Privatsphäre-Einstellungen der eigenen Repositories zu überprüfen und sicherzustellen, dass sie den gewünschten Schutz bieten. Private Repositories sollten nur für autorisierte Nutzer:innen zugänglich sein, und Änderungen an diesen Einstellungen sollten sorgfältig überwacht werden.

Nutzer:innen sollten die Zugriffskontrollen regelmäßig überprüfen und sicherstellen, dass nur berechtigte Personen Zugriff haben. Darüber hinaus sollten sie sicherstellen, dass beim Wechsel von privaten zu öffentlichen Repositories alle sensiblen Daten entfernt oder unkenntlich gemacht wurden.

Nutzung von Sicherheitstools

Es gibt verschiedene Sicherheitstools, die Nutzer:innen dabei helfen können, ihre Repositories zu schützen. Diese Tools können nach Sicherheitslücken suchen, sensible Informationen identifizieren und Empfehlungen zur Verbesserung der Sicherheit geben.

Sicherheitstools wie GitHub Advanced Security oder Drittanbieter-Tools können automatisierte Scans durchführen und Warnungen ausgeben, wenn potenzielle Sicherheitsprobleme entdeckt werden. Diese Tools sollten regelmäßig eingesetzt werden, um ein hohes Maß an Sicherheit zu gewährleisten.

Was denken Sie über diese Sicherheitslücken auf GitHub? Teilen Sie Ihre Meinung und Erfahrungen in den Kommentaren unten mit – Ihre Beiträge könnten anderen helfen, sich besser zu schützen!

(Autor: schubertmedia), Eingetragen am 25.07.2024

Schreib ein Kommentar