\n<\/p>\n
La startup de documentaci\u00f3n Mintlify dice que docenas de clientes tuvieron tokens de GitHub expuestos en una violaci\u00f3n de datos a principios de mes y divulgados p\u00fablicamente la semana pasada.<\/p>\n
Mintlify ayuda a los desarrolladores a crear documentaci\u00f3n para su software y c\u00f3digo fuente solicitando acceso y accediendo directamente a los repositorios de c\u00f3digo fuente de GitHub del cliente. Mintlify cuenta entre sus clientes a empresas emergentes de tecnolog\u00eda financiera, bases de datos e inteligencia artificial.<\/p>\n
En una publicaci\u00f3n de blog el lunes, Mintlify culp\u00f3 del incidente del 1 de marzo a una vulnerabilidad en sus propios sistemas, pero dijo que, como resultado, 91 de sus clientes vieron comprometidos sus tokens de GitHub.<\/p>\n
Estos tokens privados permiten a los usuarios de GitHub compartir el acceso a su cuenta con aplicaciones de terceros, incluidas empresas como Mintlify. Si estos tokens son robados, un atacante podr\u00eda obtener el mismo nivel de acceso al c\u00f3digo fuente de una persona que el token permite.<\/p>\n
\u00abLos usuarios han sido notificados y estamos trabajando con GitHub para identificar si los tokens se utilizaron para acceder a repositorios privados\u00bb, escribi\u00f3 el cofundador de Mintlify, Han Wang, en una publicaci\u00f3n de blog.<\/p>\n
La noticia del incidente se hizo p\u00fablica la semana pasada cuando algunos usuarios de Reddit y Hacker News comentaron despu\u00e9s de recibir un correo electr\u00f3nico de Mintlify el viernes sobre el incidente, d\u00edas despu\u00e9s de que la publicaci\u00f3n del blog de la compa\u00f1\u00eda inicialmente dijera a los clientes que \u00abno se requiere ninguna otra acci\u00f3n de su parte\u00bb.<\/p>\n
En una publicaci\u00f3n sobre la violaci\u00f3n en Hacker News, Wang dijo que una vulnerabilidad en sus sistemas estaba filtrando las credenciales de administrador interno de la compa\u00f1\u00eda a los clientes. Esas credenciales podr\u00edan luego usarse para acceder a los puntos finales internos de la compa\u00f1\u00eda y acceder a otra informaci\u00f3n confidencial no especificada del usuario, dijo Wang.<\/p>\n
Wang dijo que la compa\u00f1\u00eda estaba en el proceso de desaprobar el uso de tokens privados \u00abpara evitar que un incidente como este vuelva a ocurrir\u00bb.<\/p>\n
Si bien la publicaci\u00f3n del blog describe a la persona que descubri\u00f3 la vulnerabilidad como un reportero de recompensas por errores, el cofundador de la compa\u00f1\u00eda, Wang, describi\u00f3 los eventos como maliciosos.<\/p>\n
\u00abLos objetivos de este ataque fueron los tokens de GitHub de nuestros usuarios\u00bb, dijo Wang a TechCrunch por correo electr\u00f3nico.<\/p>\n
\u201cLas investigaciones con un cliente afectado revelaron que el atacante probablemente no utiliz\u00f3 el token filtrado. Actualmente estamos trabajando con GitHub y nuestros clientes para descubrir si el atacante utiliz\u00f3 alguno de los otros tokens\u201d, dijo Wang.<\/p>\n<\/p><\/div>\n