GitHub：正調查對GitHub內部代碼庫的未授權訪問事件

事件概述

GitHub在X平臺發文表示，其正在調查對GitHub內部代碼庫的未授權訪問事件。目前沒有證據顯示儲存於內部倉庫之外的客戶資訊（如企業、組織和倉庫）受到影響。

後續監控與應對措施

平臺正在密切監控基礎設施，以防止後續活動。若未來確認有用戶數據或服務受到影響，將透過既有事件回應與通知渠道向客戶進行通報。

相關安全事件與背景

• 2025年7月6日，有安全研究人員利用GitHub漏洞，獲取所有Istio代碼庫及更多管理員權限，顯示GitHub代碼庫存在潛在安全風險。
• 2022年4月12日，一名未知攻擊者使用盜取的Heroku與Travis CI維護的第三方OAuth用戶令牌，從數十家企業的私有儲存庫中下載數據。
• 2026年4月20日，身份安全公司SailPoint公佈其官方GitHub代碼庫遭未授權訪問，雖迅速封堵漏洞，但聲明未波及客戶數據。
• 2026年5月10日，有報導指出一個小小的分號錯誤，可能讓任何有push權限的GitHub用戶在後端執行任意命令，導致多租戶雲平臺內部信任被破壞。

安全建議

開發人員應注意自身GitHub登入憑證，並定期檢查代碼庫設定，避免將敏感資訊混入公開代碼，同時監測GitHub上的可疑行為。

來源：https://www.panewslab.com/zh/articles/019e42ef-ae0c-7231-bc03-ffb1e0cb6bae