Базираната в облак услуга за хостинг на хранилища GitHub разкри в петък, че е открила доказателства за неназован противник, който се възползва от откраднати потребителски кодове на OAuth за неоторизирано изтегляне на лични данни от множество организации.
„Нападател е злоупотребил с откраднати потребителски токени на OAuth, издадени на двама интегратори на OAuth от трети страни, Heroku и Travis-CI, за да изтегли данни от десетки организации, включително NPM“, Майк Ханли от GitHub декларация в доклад.
Често OAuth . токените за достъп са използван Чрез приложения и услуги за разрешаване на достъп до конкретни части от потребителски данни и комуникация помежду си, без да се налага споделяне на действителни идентификационни данни. Това е един от най-често срещаните методи, използвани за предаване на оторизация от еднократно влизане (SSO) услуга за друго приложение.
От 15 април 2022 г. списъкът на засегнатите OAuth приложения е както следва –
- Табло за управление на Heroku (ID: 145909)
- Табло за управление на Heroku (ID: 628778)
- Табло за управление на Heroku – Визуализация (ID: 313468)
- Heroku Dashboard – Classic (ID: 363831),
- Travis CI (ID: 9216)
Компанията заяви, че не се казва, че OAuth токените са получени чрез пробив на GitHub или неговите системи, тъй като не съхранява токените в оригиналните им използваеми формати.
Освен това GitHub предупреди, че застрашен участник може да анализира съдържанието на частно хранилище, изтеглено от жертви, използвайки OAuth приложения на трети страни, за да събере допълнителни тайни, които след това могат да бъдат използвани, за да се фокусират върху други части от тяхната инфраструктура.
Платформата, собственост на Microsoft, посочи, че е открила ранни доказателства за кампанията за атака на 12 април, когато се натъкна на неоторизиран достъп до производствената си среда на NPM, използвайки компрометиран ключ за API на AWS.
Смята се, че този ключ за API на AWS е получен чрез изтегляне на набор от неидентифицирани частни хранилища на NPM с OAuth токен от едно от двете засегнати OAuth приложения. GitHub каза, че оттогава е премахнал токените за достъп, свързани със засегнатите приложения.
„В този момент ние оценяваме, че нападателят не е променил никакви пакети или не е получил достъп до данни или данни за потребителски акаунт“, каза компанията, добавяйки, че все още проверява дали нападателят е преглеждал или изтеглил частни пакети.
GitHub каза също, че в момента работи за идентифициране и уведомяване на всички известни засегнати потребители и организации, които могат да бъдат засегнати в резултат на този инцидент през следващите 72 часа.
More Stories
Съобщава се, че Apple работи върху 90Hz Studio Display, iMac и iPad Air
Новото музикално приложение на Nintendo е клонинг на YouTube Music
2027 Pixel Tablet ‘3’ може да има втори USB-C порт