GitHub 证实内部数据遭非法访问！CZ 紧急示警：私有仓库不再安全

全球最大的代码代管平台GitHub 传出重大安全事故。官方证实其内部储存库遭到未经授权的访问，引发开发者社群高度恐慌。币安创办人CZ（赵长鹏）随即在社交平台发文示警，呼吁所有开发者立即检查并更换代码中的敏感凭证。

GitHub 官方证实内部数据遭非法访问

GitHub 官方于今日（20日）上午证实，正在调查一起内部储存库遭未经授权访问的事件。官方在推文中指出，目前尚未发现证据显示此事件影响到存储于内部仓库之外的客户资讯（如企业、组织或一般客户的储存库）。并表示正严密监控基础设施，并承诺若发现任何客户受影响，将第一时间透过官方渠道通知。

受黑个案：Grafana Labs 遭黑客勒索

就在GitHub 爆出漏洞的同时，数据监控服务商Grafana Labs 也发布了事故报告，成为了此次事件中最具代表性的受害案例之一。

报告指出，黑客锁定了Grafana 在GitHub 上的自动化工具（GitHub Actions）。透过一场代号为「Mini Shai-Hulud」的供应链攻击，黑客成功骗取了进入GitHub 的「通行证」。

在GitHub 内部环境动荡之际，Grafana 虽然更换了大部分权限，却遗漏了一个关键token。这把遗留的「钥匙」让黑客得以在合法授权的伪装下，绕过GitHub 的所有保护机制，直接下载了Grafana 的完整原始码及内部业务数据。

黑客在下载代码后随即提出勒索，威胁将公开原始码。 Grafana 已正式宣布拒绝支付赎金，并强调程式码虽被下载但未受篡改，且生产系统依然安全。

这次事件凸显了GitHub 作为平台方与Grafana 作为用户方之间脆弱的安全纽带。如果GitHub 内部储存库被入侵，代表平台本身可能存在尚未公开的架构漏洞，这会让所有依赖GitHub 进行开发的公司暴露在风险中。

CZ 紧急示警：私有储存库不再安全

针对此事件，CZ 在Twitter 上转发消息并严肃提醒：「如果你的代码中含有API 金钥（即使是存在私有储存库中），现在是时候进行复查并更换它们了。」

这项建议反映了资安领域的长期担忧：一旦GitHub 内部架构受损，即使是设定为「私有」的代码库也可能面临泄漏风险，黑客可借此提取金钥进而攻击更深层的金融或生产系统。