La startup de documentación Mintlify dice que docenas de clientes tuvieron tokens de GitHub expuestos en una violación de datos a principios de mes y divulgados públicamente la semana pasada.
Mintlify ayuda a los desarrolladores a crear documentación para su software y código fuente solicitando acceso y accediendo directamente a los repositorios de código fuente de GitHub del cliente. Mintlify cuenta entre sus clientes a empresas emergentes de tecnología financiera, bases de datos e inteligencia artificial.
En una publicación de blog el lunes, Mintlify culpó del incidente del 1 de marzo a una vulnerabilidad en sus propios sistemas, pero dijo que, como resultado, 91 de sus clientes vieron comprometidos sus tokens de GitHub.
Estos tokens privados permiten a los usuarios de GitHub compartir el acceso a su cuenta con aplicaciones de terceros, incluidas empresas como Mintlify. Si estos tokens son robados, un atacante podría obtener el mismo nivel de acceso al código fuente de una persona que el token permite.
«Los usuarios han sido notificados y estamos trabajando con GitHub para identificar si los tokens se utilizaron para acceder a repositorios privados», escribió el cofundador de Mintlify, Han Wang, en una publicación de blog.
La noticia del incidente se hizo pública la semana pasada cuando algunos usuarios de Reddit y Hacker News comentaron después de recibir un correo electrónico de Mintlify el viernes sobre el incidente, días después de que la publicación del blog de la compañía inicialmente dijera a los clientes que «no se requiere ninguna otra acción de su parte».
En una publicación sobre la violación en Hacker News, Wang dijo que una vulnerabilidad en sus sistemas estaba filtrando las credenciales de administrador interno de la compañía a los clientes. Esas credenciales podrían luego usarse para acceder a los puntos finales internos de la compañía y acceder a otra información confidencial no especificada del usuario, dijo Wang.
Wang dijo que la compañía estaba en el proceso de desaprobar el uso de tokens privados «para evitar que un incidente como este vuelva a ocurrir».
Si bien la publicación del blog describe a la persona que descubrió la vulnerabilidad como un reportero de recompensas por errores, el cofundador de la compañía, Wang, describió los eventos como maliciosos.
«Los objetivos de este ataque fueron los tokens de GitHub de nuestros usuarios», dijo Wang a TechCrunch por correo electrónico.
“Las investigaciones con un cliente afectado revelaron que el atacante probablemente no utilizó el token filtrado. Actualmente estamos trabajando con GitHub y nuestros clientes para descubrir si el atacante utilizó alguno de los otros tokens”, dijo Wang.