GitLab waarschuwt klein deel van gebruikers voor uitgelekte logins en tokens

GitLab heeft een deel van zijn gebruikers, naar eigen zeggen 0,5 procent, gewaarschuwd dat logins, oftewel third party credentials, en access tokens publiekelijk beschikbaar waren via een intern loggingsysteem. Er zou geen bewijs zijn voor misbruik.

GitLab schrijft dat het inmiddels maatregelen heeft genomen. Het kwam er naar eigen zeggen op 28 februari achter dat log-ins voor bepaalde repositories niet opgeschoond werden en op die manier in zijn eigen loggingsysteem terechtkwamen. Tijdens het onderzoek bleek bovendien dat tokens voor api-toegang in logbestanden van loadbalancers eindigden, net als log-ins voor repositories.

Vervolgens ontdekte een GitLab-gebruiker op 19 maart dat het interne loggingdashboard via een misconfiguratie toegankelijk was voor iedereen met een Google-account. Op die manier was het mogelijk om leestoegang te krijgen. Volgens GitLab was de misconfiguratie het gevolg van een migratie. Er zou geen bewijs zijn dat er misbruik van deze toegang is gemaakt, die mogelijk was tussen 19 februari en 19 maart. GitLab vermeldt daarbij wel dat zijn auditlogs alleen een week van die hele maand beslaan.

GitLab heeft de getroffen gebruikers op de hoogte gesteld en wijst erop dat gebruikers hun tokens proactief kunnen wijzigen op een speciale pagina. Onlangs waarschuwde de dienst gebruikers voor een kritieke kwetsbaarheid, die mogelijk het op afstand uitvoeren van code toeliet, naast het stelen van informatie en het omzeilen van authenticatie. GitLab is een dienst die ontwikkelaars laat samenwerken aan projecten en kondigde onlangs integratie met GitHub aan.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 27-03-2018 08:55
19 • submitter: TheRicolaa10

27-03-2018 • 08:55

19

Submitter: TheRicolaa10

Lees meer

Broncodes van repositories van tientallen bedrijven verschijnen op GitLab-server
Broncodes van repositories van tientallen bedrijven verschijnen op GitLab-server Nieuws van 28 juli 2020
GitLab draait beslissing terug om trackers in software te plaatsen
GitLab draait beslissing terug om trackers in software te plaatsen Nieuws van 31 oktober 2019
Wachtwoorden sommige GitHub-gebruikers werden door bug in plaintext opgeslagen
Wachtwoorden sommige GitHub-gebruikers werden door bug in plaintext opgeslagen Nieuws van 2 mei 2018
GitLab ondervindt problemen door gewiste productiedata
GitLab ondervindt problemen door gewiste productiedata Nieuws van 1 februari 2017
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (19)

-Moderatie-faq
19
17
10
2
0
4
Wijzig sortering

Sorteer op:

Weergave:
StefanJanssen 27 maart 2018 09:23
Elke keer dat er wat misgaat bij Gitlab wordt er meteen heel open en duidelijk erover gecommuniceerd. Dat is geweldig, maar toch sta ik keer op keer te kijken hoeveel een dienst kan fout doen zolang het bedrijf open en duidelijk communiceerd over wat er fout ging, waarom het fout ging en wat ze gaan doen om te zorgen dat het niet meer zal gebeuren.
kaas-schaaf @StefanJanssen27 maart 2018 10:42
Als GitLab nog steeds een Nederlandse entiteit is, is dit verplicht. Het verbaast mij dan ook niet.

Edit: Ik weet niet of dit zo is of was, maar veel bedrijven hebben een Nederlandse entiteit en moeten dit dan dus melden.Aangezien ze oorspronkelijk uit Utrecht komen is die kans aanwezig. Oekraine blijkbaar.

[Reactie gewijzigd door kaas-schaaf op 1 augustus 2024 23:50]

StefanJanssen @kaas-schaaf27 maart 2018 11:43
Ze komen uit Oekraïne, hun kantoorpand zit in Amerika maar het is inderdaad een Nederlands BV, als ik kijk naar https://about.gitlab.com/history/
Verwijderd @StefanJanssen27 maart 2018 09:25
Punt is meer waar mensen werken worden fouten gemaakt zelfs computers maken fouten omdat die door mensen gemaakt zijn dus niks is 100% safe
thomasv @Verwijderd27 maart 2018 09:44
Ja, maar om er dan zo open en transparant in te zijn is wat GitLab onderscheidt van de rest van dat soort bedrijven. De tolerantie van een groep mensen is groter als dingen zienderogen verbetert worden. Men leert voornamelijk van fouten, dus het communiceren van deze fouten en aangeven hoe je dit in de toekomst gaat voorkomen wekt het vertrouwen dat je als club competent bezig bent, zonder enorme poeha dat de fout in de eerste plaats gemaakt is. Dit in contrast met andere bedrijven waar ook fouten gemaakt worden, maar welke nooit gecommuniceerd worden (of veel te laat).
sanderv @thomasv27 maart 2018 11:01
Ik vind het ook heel mooi, wat ze doen... maar ik vraag me toch af of het wel zo positief overkomt.

Ten eerste, we moeten dit bekijken relatief ten opzichte van hun belangrijkste concurrenten. Volgens mij zijn dat Bitbucket en GitHub, en die staan toch niet zo negatief bekend als wanneer ze bijvoorbeeld tegen Oracle of IBM aan het opboksen zouden zijn.

Ten tweede vraag ik me af of de beslissers in organisaties (klanten) deze kwaliteit van GitLab wel op waarde kunnen schatten.

Edit: taalvouten.

[Reactie gewijzigd door sanderv op 1 augustus 2024 23:50]

Daantie @dabronsg27 maart 2018 10:44
Vandaar dat hij ook zegt: "omdat die door mensen gemaakt zijn".
Verwijderd @Daantie27 maart 2018 11:10
Correct ^^
odiw @dabronsg27 maart 2018 15:08
Op de eerste zin na quote je resixh bijna.

Computers worden gedesigned door mensen, daar zit inherent de fout by design.
dabronsg @odiw27 maart 2018 15:34
en toch wordt "foutje van de computer" met regelmaat als excuus gebruikt om bijvoorbeeld registraties niet op orde te hebben. Mensen zonder ICT kennis slikken dat vaak als zoete koek... (daar komt mijn allergie vandaan in mijn reactie hierboven...)
odiw @dabronsg27 maart 2018 15:37
Maar dat is gewoon verplaatsing van verantwoordelijkheid. In die stelling is dan uiteindelijk de meneer/mevrouw die de chip die het betreffende werk verrichte de sjaak :+

edit: of de persoon die ervoor zorgde dat betreffende meneer/mevrouw te wereld is gebracht.

kan wel even door gaan maar punt is denk ik wel duidelijk :+

[Reactie gewijzigd door odiw op 1 augustus 2024 23:50]

falcon1 27 maart 2018 09:00
Chapeau! Helder, open, duidelijk. Zo hoort het.
TheRicolaa10 27 maart 2018 09:05
De mail die ik gister heb gekregen:
https://mailchi.mp/gitlab...party-gitrepo-credentials

Netjes dat ze het pro-actief melden. Ik heb het meteen aangepast in mijn account.
biglia 27 maart 2018 13:22
GitLab heeft een deel van zijn gebruikers, naar eigen zeggen 0,5 procent, gewaarschuwd dat logins
Als je gaat goochelen met procenten, dan zullen het toch nog een aanzienlijk aantal gebruikers geweest zijn. Slim gecommuniceerd, maar niet helemaal open.

[Reactie gewijzigd door biglia op 1 augustus 2024 23:50]

xoniq @biglia27 maart 2018 21:02
Waarom niet open? Het exacte aantal doet er niet toe. Dat ze al die gebruikers op de hoogte hebben gesteld wel. Ik ben ook een van die gebruikers. Ze vertellen dat het fout is gegaan, waarom een hoe ik maatregelen kan nemen. Er zijn genoeg bedrijven die het veel vager doen.
MrWouterNL @Verwijderd27 maart 2018 16:44
Ben je zo'n dude die 24 uur per dag een tin-foil hat draagt?
Verwijderd @MrWouterNL28 maart 2018 19:07
Even snel reageren voordat de 2de helft begint? 8)7

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq