La startup de documentación Mintlify informa que decenas de clientes tuvieron tokens de GitHub expuestos en una violación de datos a principios de mes y revelada públicamente la semana pasada.
Mintlify ayuda a los desarrolladores a crear documentación para su software y código fuente solicitando acceso y conectándose directamente a los repositorios de código fuente de GitHub del cliente. Mintlify cuenta con clientes en el sector fintech, bases de datos y startups de inteligencia artificial.
En una publicación de blog el lunes, Mintlify culpó a su incidente del 1 de marzo debido a una vulnerabilidad en sus propios sistemas, pero dijo que 91 de sus clientes tuvieron comprometidos sus tokens de GitHub como resultado.
Estos tokens privados permiten a los usuarios de GitHub compartir el acceso a su cuenta con aplicaciones de terceros, incluidas empresas como Mintlify. Si estos tokens son robados, un atacante podría obtener el mismo nivel de acceso al código fuente de una persona como lo permite el token.
«Los usuarios han sido notificados, y estamos trabajando con GitHub para identificar si los tokens se utilizaron para acceder a repositorios privados», escribió el cofundador de Mintlify, Han Wang en una publicación de blog.
La noticia del incidente se hizo pública la semana pasada cuando algunos usuarios en Reddit y Hacker News comentaron después de recibir un correo electrónico de Mintlify el viernes sobre el incidente, días después de que la publicación inicial de la empresa dijera a los clientes que «no se requiere ninguna acción adicional por su parte».
En una publicación discutiendo la violación en Hacker News, Wang dijo que una vulnerabilidad en sus sistemas estaba filtrando las credenciales de administrador internas de la empresa a los clientes. Esas credenciales podrían luego ser utilizadas para acceder a los endpoints internos de la empresa para acceder a otra información sensible no especificada, dijo Wang.
Wang dijo que la empresa estaba en proceso de desaprobación del uso de tokens privados «para evitar que un incidente como este vuelva a ocurrir».
Mientras que la publicación del blog describe a la persona que descubrió la vulnerabilidad como un informante de la recompensa por errores, el cofundador de la empresa, Wang, describió los eventos como maliciosos.
«Los objetivos de este ataque fueron los tokens de GitHub de nuestros usuarios», dijo Wang a TechCrunch por correo electrónico.
«Las investigaciones con un cliente afectado revelaron que es probable que el token filtrado no haya sido utilizado por el atacante. Actualmente estamos trabajando con GitHub y nuestros clientes para determinar si alguno de los otros tokens fue utilizado por el atacante», dijo Wang.