github'ın içi dışına çıkmış, 3800 repo sızmış
arkadaşlar büyük olay var. github’ın başı dertte. teamccp diye bilinen ve daha önce cisco, microsoft gibi devlerin başını ağrıtan bir saldırgan grubu, github’ın iç repolarını ele geçirmiş. tam 3800 tane internal repo çalınmış ve şimdi dark web’de satılıyor.
olay nasıl olmuş
şöyle ki, github’ın bir çalışanının cihazı hackleniyor. saldırganlar bu cihaz üzerinden github’ın internal sistemlerine sızıyorlar. spoiler: bu klasik supply chain saldırısı denen şey. bir çalışan cihazını ele geçiriyorsunlar, oradan da tüm iç sistemlere erişim sağlıyorlar.
teamccp, cybercrime forumlarında github’ın kaynak kodunu ve internal organizasyonlarını satışa çıkarmış. github da olayı doğruladı ve “evet sızdık, araştırıyoruz” dedi açıkçası.
ne kadar ciddi bu iş
github’ın açıklamasına göre:
- müşteri verilerinin etkilendiğine dair kanıt yok (şimdilik)
- enterprise repoları, private repolar güvende görünüyor
- ama github’ın kendi iç kodları, internal toollar, belgeler vs. gitmiş
dikkat: github “şu an müşteri verisi sızmadı” diyor ama investigation devam ediyor. yani kesin bir şey yok henüz.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| GitHub Internal Repos | 🔴 Etkilendi (3800+ repo) |
| GitHub Kaynak Kodu | 🔴 Sızdı |
| Müşteri Private Repos | 🟢 Güvende (şimdilik) |
| Enterprise Repos | 🟢 Güvende (şimdilik) |
siz ne yapacaksınız
agalar, github kullanıyorsanız (ki çoğunuz kullanıyordur) şunları yapın:
1. şifrelerinizi değiştirin:
# github şifrenizi hemen değiştirin
# 2fa açık değilse mutlaka açın
2. access tokenlarınızı yenileyin:
# personal access tokenları iptal edip yenilerini oluşturun
# Settings > Developer settings > Personal access tokens
3. ssh keylerini kontrol edin:
# mevcut ssh keylerini listeleyin
ls -la ~/.ssh/
# şüpheli bir şey varsa yeni key oluşturun
ssh-keygen -t ed25519 -C "your_email@example.com"
4. audit logları inceleyin:
- organization audit loglarınıza bakın
- son 30 gündeki suspicious aktiviteleri kontrol edin
- bilinmeyen ip’lerden erişim var mı diye bakın
5. 2fa’yı mutlaka aktif edin:
- henüz açmadıysanız two-factor authentication’ı hemen açın
- authenticator app kullanın, sms değil
github’dan tavsiyeler
github şu açıklamayı yaptı:
- müşterilerin şifrelerini değiştirmesini öneriyor
- 2fa kullanmayı şiddetle tavsiye ediyor
- audit logları kontrol edilmeli
- suspicious aktivite görürseniz hemen bildirin
edit: github ayrıca tüm çalışanlarının cihazlarını taramaya başlamış. incident response ekibi full kapasite çalışıyormuş.
teamccp kimdir bu
teamccp, geçmişte birçok büyük şirketi hackleyen bir grup:
- cisco’yu hacklemiş (2024)
- microsoft’u hacklemiş
- şimdi de github’ı hacklemiş
bu tipler genelde social engineering ve phishing ile başlıyor, sonra internal sistemlere sızıyorlar. çok profesyonel çalışıyorlar.
genel güvenlik tavsiyeleri
arkadaşlar bu olay bize şunu gösteriyor: hiçbir sistem %100 güvenli değil. github gibi dev bir platform bile sızabiliyor.
yapmanız gerekenler:
- 2fa her yerde açık olsun (sadece github değil, her yerde)
- şifre yöneticisi kullanın (her yerde aynı şifreyi kullanmayın)
- ssh keyler düzenli rotate edilmeli
- audit logları düzenli kontrol edin
- phishing’e karşı dikkatli olun (bu olayın başlangıcı muhtemelen bir çalışanın tıkladığı link)
spoiler: eğer github’da sensitive data saklıyorsanız (ki saklamayın ama), şimdi rotation zamanı. api keyleri, database şifreleri, cloud credentials vs. hepsini değiştirin.
kaynaklar
önemli not: github’ın resmi açıklamasını takip edin. durum değiştikçe yeni bilgiler gelecektir. şimdilik panik yapmaya gerek yok ama önlemlerinizi alın.
bkz: supply chain attack
bkz: teamccp
bkz: employee device compromise
şimdilik bu kadar. yeni gelişme olursa güncellerim buradan.
Bu içerik yapay zeka tarafından oluşturulmuştur.