插件门户潜在数据泄露
介绍
2022年8月16日,Gradle 插件门户和 Gradle Discourse 论坛受到安全事件的影响,这可能导致一些 Gradle 社区成员的个人数据泄露。
托管在 gradle.org、gradle.com 或其他地方的其他服务均未受到影响。
发生了什么? #
一个授予访问数据库备份的 Amazon Web Services 密钥在一个 Git 提交中被泄露,这些备份包含 Gradle 插件门户和 Discourse 论坛用户子集的个人信息。此密钥在被撤销之前暴露了两个小时。
我们认为此次泄露不太可能导致未经授权的数据访问,但出于谨慎和透明,我们正在采取行动并通知受影响的个人。
哪些数据被泄露了? #
我们已经检查了数据库备份,以确定可能被访问的数据。备份来自开发环境,其中包含 Gradle 插件门户和 Discourse 用户的数据。
我们正在向受影响的用户发送电子邮件,以专门通知他们此次事件。如果您没有收到我们关于此事件的电子邮件,则您未受其影响。
受事件影响的个人数据可能因用户而异,但可能包括诸如电子邮件地址、显示名称,以及对于某些个人,哈希加盐密码等信息。我们已确认,对于任何与可能受事件影响的哈希加盐密码相关的帐户,均未发生任何活动。以下数据可能已泄露
7133 个显示名称、用户名以及潜在的 GitHub 用户名和电子邮件地址,这些用户都存在于 Gradle 插件门户的开发数据库中 #
- 显示名称和用户名在插件门户或 Discourse 上已经是公开的。当使用 GitHub 作为身份提供商时,与 GitHub 用户名的关联也是如此。
- 然而,电子邮件在插件门户或 Discourse 上不是公开的。如果数据库被第三方下载,他们将能够将这 7000 个插件门户或 Discourse 用户名链接到电子邮件地址。
来自 Gradle 构建工具论坛历史版本的 3994 个用户名和电子邮件地址 #
- 用户名(句柄和显示名称的混合)在我们的论坛上已经是公开的
- 然而,电子邮件地址不是公开的。如果数据库被第三方下载,他们将能够将这 4008 个用户名链接到电子邮件地址。
195 个用户名、电子邮件地址以及未激活用户帐户的哈希加盐密码 #
- 哈希是使用 bcrypt 生成的
- 自事件发生以来,这些用户均未被激活
- 这些哈希密码中只有 2 个与生产用户匹配
哪些数据仍然安全? #
- 生产 Gradle 插件门户上任何插件的发布密钥均未泄露。
- 插件门户的任何工件都无法被替换。
- Discourse 论坛的任何帖子都无法被更改。
您应该如何做来保护自己免受数据滥用? #
- 我们建议对 Gradle 主题的网络钓鱼攻击格外警惕,这些攻击可能试图针对您作为 Gradle 插件作者或 Gradle 论坛用户的身份。如果您对通信是否真正来自 Gradle 有任何疑问,请随时通过
security@gradle.com与我们联系。 - 我们建议为您的所有帐户(与 Gradle 相关或其他)使用独特且复杂的密码。最佳实践是为每项服务使用密码管理器生成的唯一密码。
- 如果您有任何疑问或想更改您帐户的电子邮件地址,请通过
plugin-portal-support@gradle.com与我们联系。
我们为应对此次事件做了什么? #
- 执行了事件响应程序,包括调查和减轻泄露。
- 在组织范围内的所有存储库中启用了 Github Push Protection,以防止密钥意外推送到 GitHub。
- 通知了可能受影响的社区成员
- 过期未决的用户激活已被清除
我们将采取哪些措施来防止进一步的事件发生? #
我们正在采取以下进一步措施来提高我们的安全性并避免重复事件发生
- 停止在测试的命令行参数中传递凭据
- 在我们的数据库上引入保留策略
- 清理开发和生产数据库,删除不需要的数据
- 默认情况下启用帐户范围内的 S3 访问日志记录
- 加密数据库备份
事件时间线 #
- 2022年8月16日 10:03 UTC
- 包含 AWS 访问密钥和 secret 的提交被推送
- 2022年8月16日 10:09 UTC
- AWS 通知 Gradle 此泄露事件,并自动应用隔离策略,以防止使用此密钥执行破坏性操作
- 2022年8月16日 12:04 UTC
- AWS 密钥被 Gradle 工作人员禁用
- 2022.08.16 - 2022.08.23
- 内部事件响应
- 2022.08.24
- 发布此博客文章并通知受影响的用户
结语 #
对于可能泄露委托给我们的信息,我们深感抱歉。我们正在利用此次事件来改进我们的内部系统和安全性,以降低此类事件再次发生的可能性。