Напаѓачи успеале да се здобијат со пристап до приватни GitHub складишта

Засега неидентификувана група со помош на украдени OAuth токени успеа да дојде до пристап до приватни складишта на Github. Токените кои напаѓачот ги користел се издадени од Heroku и Travis-CI.

На 12 април, GitHub Security започна истрага, која откри дека напаѓачи злоупотребувајќи украдени кориснички токени на OAuth издадени на две трети-страни за OAuth-интеграција, Heroku и Travis-CI, успеале да преземат податоци од десетици организации, вклучително и npm. Апликациите што ги одржуваат овие интегратори ги употребуваат корисниците на GitHub, вклучувајќи го и самиот GitHub.

По истрагата, на 13 и 14 април, ги споделивме нашите наоди со Heroku и Travic-CI.

Безбедносниот тим на Github го забележал проблемот на 12-ти април и веднаш започнале со истрага. Истрагата потврдила дека со украдените токени напаѓачите успеале да украдат податоци од десетици организации, вклучувајќи ги и npm. Безбедносниот тим верува дека OAuth токените не се украдени од GitHub; платформата не ги чува во формат во кој би можел да биде злоупотребен.  

Нарушувањето е откриено откако напаѓачот со компромитиран AWS API клуч се обидел неовластено да пристапи до npm продукциската инфраструктура на GitHub. Безбедносните експерти на GitHub веруваат дека напаѓачот успеал да дојде до овој клуч по обработка на податоци преземени од приватни npm складишта кои ги користеле украдените OAuth токени.

„По откривањето на кражбата на OAuth токени кои не се складирани на GitHub или npm, вечерта на 13 април, веднаш презедовме акција за заштита на GitHub и npm – ги отстранивме токените за интерна употреба на зафатените GitHub и npm апликации“, вели Мајк Хенли на блогот на GitHub.

Проценката на GitHub е дека напаѓачите не направиле промени во фајловите кои ги украле, и не успеале да се здобијат со пристап до податоците на корисниците. Безбедносните експерти и натаму работат на откривање на зафатените складишта, по што ќе ги известат нивните сопственици.

Веста за кражбата на OAuth токените ја потврди и Hetoku кој ги повлече токените. Како дополнителна мерка, барем засега, нема да издаваат токени преку Heroku дашбордот.

Добивај известувања
Извести ме за
guest
0 Коментари
Inline Feedbacks
View all comments