GitHub, một trong những kho lưu trữ trực tuyến các dự án phần mềm nguồn mở và thương mại lớn nhất đã bị hack. Ruby on Rails, Linux, jQuerry, Reddit và hàng triệu dự án lớn khác đều gặp nguy.
GitHub, nơi lưu trữ nhiều triệu dự án mã nguồn mở lẫn thương mại - Ảnh: Internet |
Lập trình viên tên Egor Homakov đã khám phá một lỗi bảo mật trong hệ thống GitHub, có thể bị khai thác một cách dễ dàng để chiếm quyền quản trị viên (administrator) truy xuất đến những dự án, bao gồm cả những dự án lớn như Ruby on Rails. Thậm chí Homakov đã có thể xóa toàn bộ bản ghi lược sử quá trình phát triển của các dự án như jQuerry, Node.js, Redis...
Kể từ khi thành lập vào năm 2008, GitHub đã nhanh chóng vượt qua các đối thủ như Codeplex và qua mặt cả "ông lớn" SourceForge. GitHub có thêm những tính năng mạng xã hội, cho phép theo dõi các luồng cập nhật mới, bạn bè và xu hướng mới. Quan trọng hơn cả, GitHub là dự án hoàn toàn miễn phí, giúp các lập trình viên có thể phối hợp với nhau dễ dàng và nhanh chóng. Do đó, chỉ trong 3 năm, GitHub đã có hơn 1,4 triệu lập trình viên trên toàn cầu tham gia, tạo ra hơn 2,3 triệu hạng mục.
Mặc dù có tầm cỡ và phạm vi ảnh hưởng lớn nhưng GitHub chưa bao giờ bị hack cho đến bây giờ. GitHub sử dụng khung ứng dụng Ruby on Rails, đây là yếu điểm vì Rails có những lỗ hổng được công bố trong vài năm qua.
Homakov đã lợi dụng lỗ hổng, nạp "chìa khóa mở cổng" của mình vào dự án Rails trên GitHub. Theo đó, GitHub sẽ nhận diện Homakov là một quản trị viên của dự án, và kế tiếp Homakov có quyền hạn thực thi mọi thứ, bao gồm xóa toàn bộ dự án trên web. Tuy nhiên, Homakov chỉ đưa ra thông báo đến GitHub để khắc phục lỗ hổng nguy hiểm này.
Egor Homakov thử nghiệm khai thác lỗi trên GitHub - Ảnh: Internet |
Những chuyên gia bảo mật tỏ ra rất lo ngại về sự kiện trên. Nếu các hacker không thông báo lỗi như Homakov mà âm thầm nhúng mã độc vào các tập tin hay hiệu chỉnh mã nguồn dự án, gây hại cho hàng chục triệu người dùng tải về sử dụng thì mức độ nguy hiểm sẽ nghiêm trọng hơn rất nhiều và phạm vi ảnh hưởng sẽ rất lớn, sự lây nhiễm sẽ không bao giờ ngừng lại.
Ruby on Rails cập nhật bản vá lỗi
Sau ba ngày kể từ khi hệ thống GitHub bị xâm nhập, khung ứng dụng web Ruby on Rails đã được cập nhật lên phiên bản 3.2.2 để khắc phục những lỗi đã được Egor Homakov thông báo. Những người dùng được khuyến cáo nên cập nhật lên phiên bản mới nhất, cụ thể người dùng Rails 3.0 sẽ có bản 3.0.12 còn Rails 3.1 sẽ cập nhật bản 3.1.4.
Rails 3.2.2 có thể tải về qua RubyGem. Tham khảo những điểm thay đổi từ bản Rails 3.2.1 lên 3.2.2 tại đây.