Changpeng Zhao ने Crypto डेव्स को GitHub हैक के बाद API keys रोटेट करने की चेतावनी दी
GitHub ने कहा है कि एक हैकर ने उसके लगभग 3,800 इंटरनल रिपॉजिटरीज़ से कोड चोरी कर लिया, जब उसने एक कर्मचारी के कंप्यूटर पर एक खतरनाक प्लगइन इंस्टॉल कर दिया। इस घटना के बाद क्रिप्टो इंडस्ट्री में कोड में सेव किए गए API keys की सुरक्षा को लेकर चिंता बढ़ गई है।
Binance के फाउंडर Changpeng Zhao ने डिवेलपर्स को सलाह दी है कि हर एक प्रोजेक्ट में छिपे हुए keys को चेक करें और इन्हें तुरंत बदलें। उनका कहना है कि अब प्राइवेट रिपॉजिटरीज़ को भी एक्सपोज़्ड मानकर चलना चाहिए।
कंपनी ने क्या खुलासा किया
GitHub के मुताबिक, यह ब्रीच तब शुरू हुई, जब एक कर्मचारी ने VS Code एक्सटेंशन का मालिशियस वर्शन इंस्टॉल कर लिया। यह एक छोटा सा ऐड-ऑन है, जिसका इस्तेमाल दुनियाभर में लाखों डिवेलपर्स करते हैं।
कंपनी ने प्रभावित कंप्यूटर को तुरंत आइसोलेट किया, खराब एक्सटेंशन हटाया और रातों-रात जरूरी पासवर्ड बदलने शुरू कर दिए। सबसे अधिक रिस्क वाली credentials को पहले रोटेट किया गया।
अब तक की जांच से पता चलता है कि हैकर ने सिर्फ GitHub की इंटरनल रिपॉजिटरीज़ से ही कोड निकाला है। कस्टमर के प्रोजेक्ट्स, ऑर्गेनाइजेशन और अकाउंट्स पर फिलहाल कोई असर नहीं दिखा है।
GitHub का कहना है कि हैकर के करीब 3,800 रिपॉजिटरीज़ चोरी होने के दावे से उनकी इंटरनल टीम की जांच भी मेल खाती है। पूरी जांच के बाद डिटेल्ड रिपोर्ट जारी की जाएगी।
क्रिप्टो डिवेलपर्स क्यों अलर्ट पर हैं?
क्रिप्टो में, एक्सपोज़्ड API key से किसी का ट्रेडिंग अकाउंट मिनटों में खाली हो सकता है। कई keys वॉलेट्स, कस्टडी टूल्स या एक्सचेंज बोट्स तक सीधा एक्सेस खोल देते हैं। इसी लिए CZ ने अपने फॉलोअर्स को तुरंत चेतावनी दी।
CZ, Source: Xइस सेक्टर को पहले भी ऐसे झटके लग चुके हैं। इस साल के शुरुआत में इन्फ्रास्ट्रक्चर प्रोवाइडर Vercel के ब्रीच के बाद टीम्स को अपनी keys रोटेट करनी पड़ी थीं। 3Commas का 2022 का लीक लगभग 100,000 यूजर्स की keys को एक्सपोज़ कर चुका है।
इसके अलावा, Bitwarden पासवर्ड मैनेजर पर सप्लाई चेन अटैक में वॉलेट सीड्स और डिवेलपर टोकन्स चोरी हो गए थे। बाद में ये डेटा GitHub रिपॉजिटरीज़ के अंदर छुपा दिया गया।
डिवेलपर्स अक्सर प्राइवेट keys कोड, बिल्ड स्क्रिप्ट्स या छुपी हुई कॉन्फिग फाइल्स में छोड़ देते हैं, यह सोचकर कि कोई बाहरी इन्हें नहीं देख पाएगा। GitHub केस दिखाता है कि इंटरनल सिस्टम्स भी पब्लिक सिस्टम्स की तरह ब्रेक हो सकते हैं।
GitHub का कहना है कि उनकी टीम अभी भी लॉग्स चेक कर रही है। आने वाले दिनों में साफ हो जाएगा कि इन चोरी हुई रिपॉजिटरीज़ में कोई ऐसा कोड या सीक्रेट है, जो क्रिप्टो इन्फ्रास्ट्रक्चर से जुड़ा हुआ हो।
The post Changpeng Zhao ने Crypto डेव्स को GitHub हैक के बाद API keys रोटेट करने की चेतावनी दी appeared first on BeInCrypto Hindi.
आपको यह भी पसंद आ सकता है
AI-first CX इन्फ्रास्ट्रक्चर: Exotel ने एंटरप्राइज AI ऑपरेशंस को स्केल करने के लिए नेतृत्व का पुनर्गठन किया
फुजैरा में एतिहाद के यात्री ट्रेन स्टेशन पर काम पूरा हुआ
