Git-хостинг Codeberg.org сообщил клиентам о массовой рассылке оскорбительных сообщений, включая спам в issue tracker

Codeberg.org — это открытый нон‑профит проект, построенный на софт‑форке Gitea, направлен на то, чтобы «открытый код оставался открытым всегда». Платформу используют многие популярные проекты, включая Redict, чтобы «обеспечить удобный и привычный пользовательский опыт для всех, кто знаком с сообществом Redis на GitHub», а также Forgejo.

«Крайне правые силы активно преследуют членов наших сообществ и дискриминируют их по признаку этнической принадлежности и пола, политического происхождения, сексуальной ориентации, инвалидности, национальности и вероисповедания. Однако разнообразие является важным активом в сообществах свободного программного обеспечения, и именно оно делает наше программное обеспечение великолепным, а разработку продуктивной. Нацеливаясь на некоторых из наших самых активных переводчиков, лучших дизайнеров, лучших разработчиков и всех других мотивированных участников, они наносят вред экосистеме свободного программного обеспечения в целом», — сообщили в Codeberg.

Администрация платформы сообщила, что личные данные пользователей не были украдены. «Все письма были сгенерированы через серверы Codeberg с использованием функции уведомления, и у нарушителей не было прямого доступа к вашему адресу электронной почты. Мы внимательно следим за ситуацией и стараемся как можно быстрее очистить такой контент», — пояснили в Codeberg.

Часто злонамеренного контента, включая спам в issue tracker, оставался доступным только в течение нескольких минут. Из-за ограничений в производительности системы защиты некоторые сообщения оставались на платформе несколько часов.

12 февраля 2025 года злоумышленники перевёли атаки на новый уровень. Вместо того чтобы нацеливаться на отдельные проекты, они начали создавать оскорбительный контент и упоминать пользователей Codeberg блоками по 100 в каждом. В зависимости от настроек уведомлений пользователей (если вы являетесь пользователем Codeberg, вы можете изменить их в своих настройках), они генерировали уведомления по электронной почте, содержащие копию сообщения, включающего упоминание, и, таким образом, оскорбительный контент по электронной почте.

Сотрудники платформы оперативно отреагировали, заблокировали доступ к используемым функциям и удалили учётные записи пользователей‑злоумышленников, которым удалось сгенерировать большое количество уведомлений по электронной почте.

Эта атака наносит вред не только пользователям Codeberg, но и самой платформе, как на технические средства инфраструктуры (у нас были кратковременные простои наших систем, и наш почтовый сервер сильно пострадал). Также инцидент нанёс вред репутации платформы и доверию, которое пользователи нам оказали.

Как это могло произойти?

Пожалуйста, поймите, что Codeberg.org в основном управляется волонтёрами. У нас достаточно возможностей для работы платформы в обычных условиях, а обычные условия также включают в себя некоторый прогресс в борьбе с кампаниями по злоупотреблению, которые приходят и уходят. Мы предполагаем, что большинство пользователей не заметили спам‑кампаний последних дней, и мы рады, что нам удалось быстро их сдержать. Мы боремся с рекламным спамом, фишингом и вредоносным ПО каждую неделю.

Однако на этот раз наши возможности, очевидно, были исчерпаны, когда дело доходит до атак, нацеленных конкретно на нас. И мы приносим извинения за это.

Читайте так же:

• Глава YouTube: телевизоры превзошли мобильные устройства в качестве основного устройства для просмотра контента

Вы можете задаться вопросом, почему нет было технических контрмер для предотвращения такого рода злоупотреблений. Технические меры со временем развиваются, и мы внедрили дополнительно несколько мер защиты на нескольких уровнях, которыми пытались сдержать большое количество злоупотреблений.

Однако обеспечить надлежащее ограничение на такие атаки сложно. Нам необходимо обеспечить возможность законного использования нашего API и интерфейса, включая пользовательские скрипты, которые импортируют или синхронизируют огромное количество проблем из проектов на других платформах. Существуют некоторые ограничения по скорости, адаптированные к предыдущим векторам злоупотреблений, которые мы видели, в основном это была агрессивная реклама, и поэтому было бы невозможно создать эти массовые публикации, если бы они содержали гиперссылку на другой веб‑сайт, например.

Однако просто рассылка спама пользователям с уведомлениями — это новый вектор злоупотреблений для нас, и мы недостаточно к этому подготовились. За это мы приносим извинения.

Что будет делать Codeberg?

В настоящее время мы расследуем детали атаки и внедрили краткосрочные контрмеры и внимательно следим за активностью на платформе. Кроме того, мы отвечаем на сотни писем от наших пользователей, которые спрашивают об инциденте. Некоторые в ответ просят удалить свои данные.

Далее мы составим планы по улучшению нашей защиты от этого и будущих видов атак злоупотреблений на сам Codeberg, чтобы снизить вероятность повторения подобных вещей.

Если вы хотите помочь в разработке Forgejo, бесплатного/свободного программного обеспечения с открытым исходным кодом, на котором работает Codeberg, свяжитесь с нами. Разработчики Go, которые могут выделить немного времени и терпения для внедрения одной из наших более технических мер в кодовую базу, будут очень признательны.

Спасибо за ваше доверие и поддержку!
Ваша команда по связям с общественностью Codeberg