Засега неидентификувана група со помош на украдени OAuth токени успеа да дојде до пристап до приватни складишта на Github. Токените кои напаѓачот ги користел се издадени од Heroku и Travis-CI.
На 12 април, GitHub Security започна истрага, која откри дека напаѓачи злоупотребувајќи украдени кориснички токени на OAuth издадени на две трети-страни за OAuth-интеграција, Heroku и Travis-CI, успеале да преземат податоци од десетици организации, вклучително и npm. Апликациите што ги одржуваат овие интегратори ги употребуваат корисниците на GitHub, вклучувајќи го и самиот GitHub.
По истрагата, на 13 и 14 април, ги споделивме нашите наоди со Heroku и Travic-CI.
Безбедносниот тим на Github го забележал проблемот на 12-ти април и веднаш започнале со истрага. Истрагата потврдила дека со украдените токени напаѓачите успеале да украдат податоци од десетици организации, вклучувајќи ги и npm. Безбедносниот тим верува дека OAuth токените не се украдени од GitHub; платформата не ги чува во формат во кој би можел да биде злоупотребен.
Нарушувањето е откриено откако напаѓачот со компромитиран AWS API клуч се обидел неовластено да пристапи до npm продукциската инфраструктура на GitHub. Безбедносните експерти на GitHub веруваат дека напаѓачот успеал да дојде до овој клуч по обработка на податоци преземени од приватни npm складишта кои ги користеле украдените OAuth токени.
„По откривањето на кражбата на OAuth токени кои не се складирани на GitHub или npm, вечерта на 13 април, веднаш презедовме акција за заштита на GitHub и npm – ги отстранивме токените за интерна употреба на зафатените GitHub и npm апликации“, вели Мајк Хенли на блогот на GitHub.
Проценката на GitHub е дека напаѓачите не направиле промени во фајловите кои ги украле, и не успеале да се здобијат со пристап до податоците на корисниците. Безбедносните експерти и натаму работат на откривање на зафатените складишта, по што ќе ги известат нивните сопственици.
Веста за кражбата на OAuth токените ја потврди и Hetoku кој ги повлече токените. Како дополнителна мерка, барем засега, нема да издаваат токени преку Heroku дашбордот.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
