Menü
Security

GitHub-Account-Zombies erregen die Gemüter

Löscht ein Nutzer seinen Account bei GitHub, wird der Name sofort wieder für neue Nutzer frei. Das können Kriminelle missbrauchen, um über die Entwicklerseite Malware zu verteilen. Entwickler sollten Accounts daher lieber downgraden statt löschen.

Von
vorlesen Drucken Kommentare lesen 55 Beiträge
GitHub-Account-Zobies erregen die Gemüter

Der Ghost-User erbt die Issues und Kommentare gelöschter Nutzer.

Ein GitHub-Nutzer namens Jim Teeuwen löschte seinen Account bei GitHub, was auch sein Repository go-bindata löschte, auf dem einige andere Projekte aufbauten. Während die Entwickler dieser Projekte sich noch über den Verlust ärgerten, tauchte der Nutzername mit einem gleichnamigen Repository plötzlich wieder auf. Das wiederauferstandene Projekt gehörte aber keineswegs dem echten Jim Teeuwen. Stattdessen hatte ein anderer Entwickler einfach den frei gewordenen Namen registriert und unter gleichem Namen Jims alten Code wieder hochgeladen. Wer sich zwischenzeitlich nicht angemeldet hat, konnte nicht leicht erkennen, dass Jim durch einen Zombie-Account ersetzt wurde.

Das Pikante daran: Den gleichen Trick können Kriminelle Nutzen, um über GitHub Malware zu verteilen. Sie müssen dafür nur nach populären Repositories Ausschau halten und sich die Nutzernamen krallen, sobald sie frei werden. Das lässt sich auch automatisieren, sodass nur wenigen Nutzern die zombiehafte Wiederauferstehung auffallen dürfte.

GitHub in Zugzwang

Um solche Probleme vorzubeugen, könnte GitHub die Nutzernamen gelöschter Accounts für immer sperren. Dieses Vorgehen verwendet beispielsweise Google bei seinen Nutzernamen. Eine andere Möglichkeit bestünde darin den Namen erst nach einer Übergangszeit, beispielsweise zwei Jahren, wieder freizugeben. Auf Anfrage von The Register wollte sich GitHub bisher aber nicht zu Maßnahmen äußern.

Eigentlich würde es auch Sinn ergeben, archivierte Repositories nicht zu löschen, wenn der Benutzer gelöscht wird. Momentan verschwinden einfach alle Repositiories des Nutzers.

Zombies erkennen

Falls es Forks gibt, lassen sich Zombie-Repositories unter dem Namen gelöschter Accounts erkennen (das ist bei populären Repositories üblicherweise der Fall). Die Forks verlieren nämlich beim Löschen ihr Quell-Repository und GitHub sucht dann aus ihren Reihen ein anderes Repository aus, das den Forks als neue Quelle dient (siehe GitHub-Doku). Gleichzeitig fehlen dem Zombie die Forks, Issues und Sterne des Originals.

Issues und Kommentare des gelöschten Nutzers dienen gleichzeitig als Hinweis auf die Zombiefizierung. Sie werden beim Löschen des Accounts nämlich auf den Ghost-User übertragen.

Entwickler sollten trotzdem nicht vorschnell ihren Account bei GitHub löschen. Stattdessen ist es besser auf einen kostenlosen Account herunterzustufen und die fortan nicht mehr gepflegten Repositories als "Archiviert" zu kennzeichnen- zumindest bis GitHub Maßnahmen gegen Account-Zombies unternommen hat. (pmk)