[l] Benutzt hier jemand Github oder NPM?

Ja wie, sieht doch gut aus? Blablah darüber, wie wichtig ihnen Security ist, und was sie alles investieren für Security und so? Jahaa, das, meine Damen und Herren, ist wie Verzweiflung im Krisenmanagement aussieht.

Wenn man nämlich weiß, wonach man suchen muss, findet man folgende Absätze weiter unten im Kleingedruckten:

a vulnerability that would allow an attacker to publish new versions of any npm package using an account without proper authorization

Ja, richtig gelesen, liebe Leser! Mit einem Account konnte man jedes Paket überschreiben, nicht nur die eigenen.

Wie lange gab es das Problem? Gut, dass ihr fragt! Die Antwort könnte allerdings die Bevölkerung verunsichern!

This vulnerability existed in the npm registry beyond the timeframe for which we have telemetry to determine whether it has ever been exploited maliciously.

Das muss man sich mal auf der Zunge zergehen lassen. Das ganze NPM-Infrastrukturkartenhaus müsste man jetzt eigentlich mal kontrolliert sprengen und alles neumachen.

Sehr geil auch, wie sie euch dann nochmal 2FA andrehen wollen, obwohl das nichts geholfen hätte hier. Reine PR, genau wie das mit dem CO2-Fußabdruck, den euch BP ans Ohr schwatzen wollte. Damit ihr nicht darüber nachdenkt, wieso BP eigentlich nichts tut, sondern euch fragt, was ihr tun könntet. Genauso macht Github das hier jetzt auch. Erzählt euch was von 2FA, damit ihr nicht darüber nachdenkt, wie so das so epochal verkacken konnten. Github ist sogar noch ein bisschen krasser, weil sie die ganze Zeit den Eindruck zu erwecken versuchen, ihr Telemetrie-Sammeln sei ein Security-Feature. Was für eine bodenlose Frechheit, ey.

#fefebot #benutzthierjemand

1

There are no comments yet.