ドキュメンテーションスタートアップのMintlifyは、今月初めに数十人の顧客のGitHubトークンがデータ侵害で漏洩し、先週公表されたと述べている。
Mintlifyは、開発者が顧客のGitHubソースコードリポジトリへのアクセスをリクエストし、直接アクセスすることで、ソフトウェアとソースコードのドキュメント作成を支援します。Mintlifyの顧客には、フィンテック、データベース、AIのスタートアップ企業が名を連ねています。
Mintlifyは月曜日のブログ投稿で、3月1日の事件は自社システムの脆弱性が原因だと主張したが、その結果、顧客91人のGitHubトークンが侵害されたと述べた。
これらのプライベートトークンにより、GitHubユーザーはMintlifyなどの企業を含むサードパーティのアプリとアカウントアクセスを共有できます。これらのトークンが盗まれた場合、攻撃者はトークンで許可されているのと同じレベルのアクセスを個人のソースコードに取得できる可能性があります。
「ユーザーには通知済みで、GitHubと協力してトークンがプライベートリポジトリへのアクセスに使用されたかどうかを確認中です」とMintlifyの共同創業者ハン・ワン氏はブログ投稿に記した。
この事件のニュースは先週、RedditやHacker Newsの一部ユーザーが、金曜日にMintlifyからこの事件に関するメールを受け取った後にコメントしたことで公になった。その数日前、同社のブログ投稿では当初、顧客に対し「お客様側でこれ以上の対応は不要です」と伝えていた。
Hacker Newsでこの侵害について論じた投稿の中で、ワン氏は、システムの脆弱性により社内の管理者認証情報が顧客に漏洩していると述べた。この認証情報は、社内エンドポイントにアクセスされ、その他の特定されていない機密性の高いユーザー情報にアクセスできる可能性があるとワン氏は述べた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
ワン氏は、同社が「このような事件が二度と起こらないように」プライベートトークンの使用を廃止する手続きを進めていると述べた。
ブログ記事では、脆弱性を発見した人物はバグ報奨金報告者だと説明しているが、同社の共同創業者であるワン氏は、この出来事は悪意のあるものだったと述べた。
「この攻撃の標的は、当社のユーザーのGitHubトークンでした」とワン氏はTechCrunchにメールで語った。
「影響を受けた顧客1社への調査の結果、漏洩したトークンは攻撃者によって使用されていない可能性が高いことが判明しました。現在、GitHubおよびお客様と協力して、他のトークンが攻撃者によって使用されていたかどうかを調査中です」とワン氏は述べた。
Mintlify は AI を活用してコードからドキュメントを自動生成します
トピック
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
