Linux-distributie Gentoo werd eind vorige maand slachtoffer van een hack op hun GitHub-account. De ontwikkelaars geven nu meer tekst en uitleg over hoe dat is kunnen gebeuren. De inzichten zijn een les voor elk bedrijf.
Op 28 juni maakte Gentoo bekend dat iemand had ingebroken op hun GitHub-bedrijfsaccount, en de inhoud van repositories en pagina’s had gemanipuleerd. “Alle Gentoo-code die op GitHub wordt gehost, moet voorlopig worden beschouwd als gecompromitteerd”, klonk het op dat moment.
Gebruikers die materialen van Gentoo hadden gedownload en geïnstalleerd, konden geen garantie krijgen dat de code die ze hadden binnengehaald volledig legitiem was. De Gentoo-repositories op GitHub waren vijf dagen onbereikbaar, terwijl de geleden schade werd geëvalueerd.
In een update van een wiki-pagina over de inbreuk, geeft Gentoo meer details over hoe het hack heeft kunnen plaatsvinden. Daaruit kunnen drie belangrijke lessen worden getrokken, die relevant zijn voor elke organisatie.
1. Beter wachtwoordbeheer
Het onderzoek van Gentoo toont aan dat de aanvaller het wachtwoord van een beheerder kon achterhalen, en zo op het GitHub-account is binnengeraakt.
“Het gevonden bewijs suggereert een wachtwoordaanval waarbij openbaarmaking op één site het gemakkelijk maakte om wachtwoorden te raden voor niet-gerelateerde webpagina’s”, legt Gentoo uit.
Kortom, de beheerder in kwestie hield er een pover wachtwoordbeleid op na en gebruikte variaties op hetzelfde wachtwoord voor verschillende websites.
Toch is ook Gentoo zelf op z’n minst deels verantwoordelijk. GitHub biedt tweestapsverificatie aan voor bedrijfsaccounts, maar dat was niet ingeschakeld. Nochtans had het in dit geval de aanval wellicht kunnen voorkomen.
De Linux-distributie heeft tweestapsverificatie ondertussen ingeschakeld en adviseert zijn leden voortaan om een wachtwoordmanager te gebruiken met sterke en unieke wachtwoorden.
Les 1: Adviseer je medewerkers in hun wachtwoordbeheer en schakel tweestapsverificatie in waar mogelijk.
2. Strenger toegangsbeheer
Het lijkt er bovendien op dat het getroffen account niet noodzakelijk beheerderstoegang nodig had tot het GitHub-account. Het uitschakelen van het account of op z’n minst verminderen van de toegangsrechten, had de schade kunnen beperken.
Gentoo heeft zichzelf de actiepunten opgelegd om het aantal personen met beheerrechten te verminderen en meer pro-actief te zijn in het schrappen van inactieve accounts.
Les 2: Voer op regelmatige basis een audit uit van wie welke toegangsrechten heeft en verwijder inactieve accounts meteen.
3. Back-ups
Gentoo had meteen na de aanval geen idee welke repositories waren getroffen en had ook geen back-up om op terug te vallen. Daardoor waren de repositories lange tijd onbereikbaar.
Voor een non-profit zoals Gentoo valt een paar dagen downtime nog te overleven, maar voor commerciële organisaties kan het dodelijk zijn. Als het noodlot toeslaat – in de vorm van een hack of ander incident – moet je voorbereid zijn.
Een goed back-upbeleid is een vereiste om de continuïteit van de bedrijfsvoering te garanderen.
Les 3: Zorg dat je altijd een recente offline back-up hebt van belangrijke bedrijfssystemen.