Uber เลิกใช้ GitHub สำหรับโค้ดภายในแล้ว หลังเกิดเหตุข้อมูลรั่วไหลครั้งใหญ่ที่เป็นข่าวเมื่อปี 2017

Uber ได้ออกมาประกาศว่าเลิกใช้งาน GitHub สำหรับโค้ดที่ไม่ใช่โครงการ Open Source ของบริษัทแล้ว หลังจากที่ได้ออกมายอมรับถึงกรณี Data Breach ครั้งรุนแรงไปเมื่อปี 2017 ที่ผ่านมา

ทาง Uber ได้ยอมรับว่าที่ผ่านมานั้นได้ใช้งาน GitHub โดยไม่มีการทำ Multifactor Authentication ใดๆ จนเป็นสาเหตุหลักในการเกิดปัญหาข้อมูลของผู้ขับขี่และผู้ใช้งานรั่วไหลในครั้งนี้ โดยผู้ร้ายนั้นได้รับ AWS S3 Credential ของทาง Uber จากโค้ดบน GitHub นี้ ทำให้สามารถเข้าถึงข้อมูลดังกล่าวได้ ซ้ำร้ายทางผู้บริหารคนก่อนก็ยังได้จ่ายเงินค่าไถ่ให้กับผู้ที่ขโมยข้อมูลออกไป จนกลายเป็นเรื่องราวใหญ่โตเมื่อปี 2017 ที่ผ่านมา

หลังจากที่ Uber ทราบเป็นการภายในว่าข้อมูลของผู้ขับขี่และลูกค้ารั่วไหลออกไป ก็ได้มีการเปิดใช้งาน Multifactor Authentication ทันที พร้อมเปลี่ยน Credential ของ AWS เพื่อป้องกันไม่ให้ถูกเข้าถึงข้อมูลได้ซ้ำสอง ซึ่งทาง Uber ก็ได้ระบุว่าการรับมือครั้งนี้เกิดขึ้นภายในเวลาเพียง 24 ชั่วโมงหลังจากทราบเรื่องเท่านั้น และนโยบายของ Uber จึงหันไปสู่การเลิกใช้ GitHub สำหรับโค้ดส่วนอื่นๆ ทั้งหมดนอกเหนือจากโครงการ Open Source

นอกจากนี้ John Flynn ผู้ดำรงตำแหน่ง Chief Information Security แห่ง Uber ก็ยังได้ออกมาระบุด้วยว่าถึงแม้โครงการ Bug Bounty นั้นจะไม่สามารถช่วยรับมือได้ในกรณีที่ผู้โจมตีต้องการจะเรียกค่าไถ่จากธุรกิจ แต่ก็ถือว่ายังเป็นวิธีการหนึ่งที่จะช่วยรับประกันความปลอดภัยของข้อมูลลูกค้าที่มีอยู่ได้มากขึ้น อีกทั้งเขายังสำทับด้วยว่าการเรียกค่าไถ่นั้นไม่สมควรได้รับเงินค่าไถ่เลย

ส่วนทาง GitHub นั้นออกมาให้ความเห็นต่อกรณีนี้ว่า กรณีดังกล่าวไม่ใช่ความผิดพลาดด้าน Security ของ GitHub แต่ก็ไม่สามารถให้ข้อมูลต่อสื่อได้มากกว่านี้เพราะจะกระทบด้านความเป็นส่วนตัว โดยทาง GitHub นั้นแนะนำว่าไม่ควรทำการเก็บ Access Token, Password, Authentication Key หรือ Encryption Key เอาไว้ในโค้ดเลย ซึ่งถ้าหากต้องมีการนำข้อมูลเหล่านี้มาใช้ภายในโค้ดจริงๆ ก็ควรจะต้องหาวิธีการอื่นๆ เพื่อเสริมความมั่นคงปลอดภัยเพิ่มเติมด้วย

ที่มา: https://www.theregister.co.uk/2018/02/07/uber_quit_github_for_custom_code_after_2016_data_breach/