插件门户潜在数据泄露
引言
2022 年 8 月 16 日,Gradle 插件门户和 Gradle Discourse 论坛受到了一次安全事件的影响,该事件可能导致部分 Gradle 社区成员的个人数据泄露。
其他托管在 gradle.org、gradle.com 或其他地方的服务均未受到影响。
发生了什么? #
一个允许访问包含部分 Gradle 插件门户和 Discourse 论坛用户个人信息的数据库备份的 Amazon Web Services 密钥在 Git 提交中暴露。该密钥暴露了两个小时才被撤销。
我们认为泄露导致未经授权的数据访问的可能性不大,但我们仍出于谨慎和透明的原则采取行动并通知受影响的个人。
哪些数据被泄露? #
我们检查了数据库备份,以确定可能被访问的数据。这些备份来自包含 Gradle 插件门户和 Discourse 用户数据的开发环境。
我们正在向受影响的用户发送电子邮件,专门通知他们此事件。如果您没有收到我们关于此事件的电子邮件,则表示您未受此事件影响。
受此事件影响的个人数据可能因用户而异,但可能包括电子邮件地址、显示名称以及某些个人的哈希加盐密码等信息。我们已确认,对于任何与此次事件可能受影响的哈希加盐密码相关的账户,均未发生任何活动。以下数据可能已泄露:
Gradle 插件门户开发数据库中所有用户的 7133 个显示名称、用户名以及潜在的 GitHub 用户名和电子邮件地址 #
- 显示名称和用户名已在插件门户或 Discourse 上公开。使用 GitHub 作为身份提供者时,与 GitHub 用户名的关联也是公开的。
- 然而,电子邮件在插件门户或 Discourse 上不公开。如果数据库被第三方下载,他们将能够将这 7000 个插件门户或 Discourse 用户名与一个电子邮件地址关联起来。
Gradle 构建工具论坛历史版本中的 3994 个用户名和电子邮件地址 #
- 用户名(句柄和显示名称的混合)已在我们的论坛上公开
- 但是,电子邮件地址不公开。如果数据库被第三方下载,他们将能够将这 4008 个用户名与一个电子邮件地址关联起来。
195 个未激活用户账户的用户名、电子邮件以及经过哈希加盐处理的密码 #
- 哈希值使用 bcrypt 生成
- 自事件发生以来,这些用户均未激活
- 只有其中 2 个哈希密码与生产用户匹配
哪些数据仍然安全? #
- 生产 Gradle 插件门户上任何插件的发布密钥均未泄露。
- 插件门户的任何工件都无法被替换。
- Discourse 论坛的任何帖子都无法被篡改。
您应该如何保护自己免受数据滥用? #
- 我们建议对可能针对您作为 Gradle 插件作者或 Gradle 论坛用户的 Gradle 主题网络钓鱼攻击保持格外警惕。如果您对某个通信是否确实来自 Gradle 有任何疑问,请随时通过
security@gradle.com联系我们。 - 我们建议为所有账户(Gradle 相关或其他)使用独特且复杂的密码。最佳实践是为每项服务使用密码管理器生成的独特密码。
- 如果您有任何疑问或想更改账户的电子邮件地址,请通过
plugin-portal-support@gradle.com联系我们。
我们采取了哪些措施来应对此次事件? #
- 执行了事件响应程序,包括调查和减轻泄露。
- 在所有组织范围的存储库中启用 GitHub 推送保护,以防止秘密密钥意外推送到 GitHub。
- 通知了可能受影响的社区成员。
- 已清除过期的待处理用户激活。
我们将采取哪些措施来防止进一步的事件发生? #
我们正在采取以下进一步措施来改善我们的安全性并避免再次发生此类事件:
- 停止在测试的命令行参数中传递凭据。
- 引入数据库保留策略。
- 清理开发和生产数据库,删除不需要的数据。
- 默认情况下在整个账户启用 S3 访问日志记录。
- 加密数据库备份。
事件时间轴 #
- 2022 年 8 月 16 日 10:03 UTC
- 包含 AWS 访问密钥和秘密的提交被推送。
- 2022 年 8 月 16 日 10:09 UTC
- AWS 通知 Gradle 此泄露,并自动应用了隔离策略,以防止使用此密钥执行破坏性操作。
- 2022 年 8 月 16 日 12:04 UTC
- AWS 密钥被 Gradle 员工禁用。
- 2022.08.16 - 2022.08.23
- 内部事件响应
- 2022.08.24
- 发布此博客文章并通知受影响的用户。
结语 #
对于可能泄露我们所受托的信息,我们深感抱歉。我们正在将此事件作为改进内部系统和安全性的一种方式,以降低此类事件再次发生的可能性。