Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

GitLab waarschuwt klein deel van gebruikers voor uitgelekte logins en tokens

GitLab heeft een deel van zijn gebruikers, naar eigen zeggen 0,5 procent, gewaarschuwd dat logins, oftewel third party credentials, en access tokens publiekelijk beschikbaar waren via een intern loggingsysteem. Er zou geen bewijs zijn voor misbruik.

GitLab schrijft dat het inmiddels maatregelen heeft genomen. Het kwam er naar eigen zeggen op 28 februari achter dat log-ins voor bepaalde repositories niet opgeschoond werden en op die manier in zijn eigen loggingsysteem terechtkwamen. Tijdens het onderzoek bleek bovendien dat tokens voor api-toegang in logbestanden van loadbalancers eindigden, net als log-ins voor repositories.

Vervolgens ontdekte een GitLab-gebruiker op 19 maart dat het interne loggingdashboard via een misconfiguratie toegankelijk was voor iedereen met een Google-account. Op die manier was het mogelijk om leestoegang te krijgen. Volgens GitLab was de misconfiguratie het gevolg van een migratie. Er zou geen bewijs zijn dat er misbruik van deze toegang is gemaakt, die mogelijk was tussen 19 februari en 19 maart. GitLab vermeldt daarbij wel dat zijn auditlogs alleen een week van die hele maand beslaan.

GitLab heeft de getroffen gebruikers op de hoogte gesteld en wijst erop dat gebruikers hun tokens proactief kunnen wijzigen op een speciale pagina. Onlangs waarschuwde de dienst gebruikers voor een kritieke kwetsbaarheid, die mogelijk het op afstand uitvoeren van code toeliet, naast het stelen van informatie en het omzeilen van authenticatie. GitLab is een dienst die ontwikkelaars laat samenwerken aan projecten en kondigde onlangs integratie met GitHub aan.

Door Sander van Voorst

Nieuwsredacteur

27-03-2018 • 08:55

19 Linkedin Google+

Submitter: TheRicolaa10

Reacties (19)

Wijzig sortering
Elke keer dat er wat misgaat bij Gitlab wordt er meteen heel open en duidelijk erover gecommuniceerd. Dat is geweldig, maar toch sta ik keer op keer te kijken hoeveel een dienst kan fout doen zolang het bedrijf open en duidelijk communiceerd over wat er fout ging, waarom het fout ging en wat ze gaan doen om te zorgen dat het niet meer zal gebeuren.
Als GitLab nog steeds een Nederlandse entiteit is, is dit verplicht. Het verbaast mij dan ook niet.

Edit: Ik weet niet of dit zo is of was, maar veel bedrijven hebben een Nederlandse entiteit en moeten dit dan dus melden.Aangezien ze oorspronkelijk uit Utrecht komen is die kans aanwezig. Oekraine blijkbaar.

[Reactie gewijzigd door Sloerie op 27 maart 2018 11:50]

Ze komen uit Oekraďne, hun kantoorpand zit in Amerika maar het is inderdaad een Nederlands BV, als ik kijk naar https://about.gitlab.com/history/
Punt is meer waar mensen werken worden fouten gemaakt zelfs computers maken fouten omdat die door mensen gemaakt zijn dus niks is 100% safe
Ja, maar om er dan zo open en transparant in te zijn is wat GitLab onderscheidt van de rest van dat soort bedrijven. De tolerantie van een groep mensen is groter als dingen zienderogen verbetert worden. Men leert voornamelijk van fouten, dus het communiceren van deze fouten en aangeven hoe je dit in de toekomst gaat voorkomen wekt het vertrouwen dat je als club competent bezig bent, zonder enorme poeha dat de fout in de eerste plaats gemaakt is. Dit in contrast met andere bedrijven waar ook fouten gemaakt worden, maar welke nooit gecommuniceerd worden (of veel te laat).
Ik vind het ook heel mooi, wat ze doen... maar ik vraag me toch af of het wel zo positief overkomt.

Ten eerste, we moeten dit bekijken relatief ten opzichte van hun belangrijkste concurrenten. Volgens mij zijn dat Bitbucket en GitHub, en die staan toch niet zo negatief bekend als wanneer ze bijvoorbeeld tegen Oracle of IBM aan het opboksen zouden zijn.

Ten tweede vraag ik me af of de beslissers in organisaties (klanten) deze kwaliteit van GitLab wel op waarde kunnen schatten.

Edit: taalvouten.

[Reactie gewijzigd door sanderv op 27 maart 2018 11:02]

Vandaar dat hij ook zegt: "omdat die door mensen gemaakt zijn".
Op de eerste zin na quote je resixh bijna.

Computers worden gedesigned door mensen, daar zit inherent de fout by design.
en toch wordt "foutje van de computer" met regelmaat als excuus gebruikt om bijvoorbeeld registraties niet op orde te hebben. Mensen zonder ICT kennis slikken dat vaak als zoete koek... (daar komt mijn allergie vandaan in mijn reactie hierboven...)
Maar dat is gewoon verplaatsing van verantwoordelijkheid. In die stelling is dan uiteindelijk de meneer/mevrouw die de chip die het betreffende werk verrichte de sjaak :+

edit: of de persoon die ervoor zorgde dat betreffende meneer/mevrouw te wereld is gebracht.

kan wel even door gaan maar punt is denk ik wel duidelijk :+

[Reactie gewijzigd door odiw op 27 maart 2018 15:38]

Chapeau! Helder, open, duidelijk. Zo hoort het.
De mail die ik gister heb gekregen:
https://mailchi.mp/gitlab...party-gitrepo-credentials

Netjes dat ze het pro-actief melden. Ik heb het meteen aangepast in mijn account.
GitLab heeft een deel van zijn gebruikers, naar eigen zeggen 0,5 procent, gewaarschuwd dat logins
Als je gaat goochelen met procenten, dan zullen het toch nog een aanzienlijk aantal gebruikers geweest zijn. Slim gecommuniceerd, maar niet helemaal open.

[Reactie gewijzigd door biglia op 27 maart 2018 13:22]

Waarom niet open? Het exacte aantal doet er niet toe. Dat ze al die gebruikers op de hoogte hebben gesteld wel. Ik ben ook een van die gebruikers. Ze vertellen dat het fout is gegaan, waarom een hoe ik maatregelen kan nemen. Er zijn genoeg bedrijven die het veel vager doen.
Ben je zo'n dude die 24 uur per dag een tin-foil hat draagt?
Even snel reageren voordat de 2de helft begint? 8)7

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True