Investigadores de Truffle Security han revelado que es posible acceder a datos eliminados y privados de repositorios en GitHub, y que estos datos permanecen accesibles indefinidamente. Este hallazgo, que representa un vector de ataque significativo para todas las organizaciones que utilizan GitHub, ha sido nombrado Cross Fork Object Reference (CFOR). Este problema permite a los usuarios acceder directamente a los datos de otros forks, incluyendo datos de forks privados y eliminados. Según Truffle Security, esto no es un error, sino una característica deliberada del diseño de la arquitectura de repositorios de GitHub. Esto implica que cualquier código comprometido en un repositorio público puede ser accesible permanentemente, incluso si el repositorio original es eliminado, siempre y cuando exista al menos un fork de dicho repositorio. Aunque la investigación se centró en GitHub, cabe destacar que algunos de estos problemas también están presentes en otros sistemas de control de versiones.
Tomado de Boletín de Noticias de Ciberseguridad – Global – 26-07-2024
2024 © Telefónica Cyber Security & Cloud Tech S.L.U.
0 comentarios