PRKernel

Доставчик на новини в реално време в България, който информира своите читатели за последните български новини, събития, информация, пътувания, България.

GitHub казва, че хакерите са пробили десетки организации с откраднати OAuth токени за достъп

GitHub казва, че хакерите са пробили десетки организации с откраднати OAuth токени за достъп

Базираната в облак услуга за хостинг на хранилища GitHub разкри в петък, че е открила доказателства за неназован противник, който се възползва от откраднати потребителски кодове на OAuth за неоторизирано изтегляне на лични данни от множество организации.

„Нападател е злоупотребил с откраднати потребителски токени на OAuth, издадени на двама интегратори на OAuth от трети страни, Heroku и Travis-CI, за да изтегли данни от десетки организации, включително NPM“, Майк Ханли от GitHub декларация в доклад.

кибер защита

Често OAuth . токените за достъп са използван Чрез приложения и услуги за разрешаване на достъп до конкретни части от потребителски данни и комуникация помежду си, без да се налага споделяне на действителни идентификационни данни. Това е един от най-често срещаните методи, използвани за предаване на оторизация от еднократно влизане (SSO) услуга за друго приложение.

От 15 април 2022 г. списъкът на засегнатите OAuth приложения е както следва –

  • Табло за управление на Heroku (ID: 145909)
  • Табло за управление на Heroku (ID: 628778)
  • Табло за управление на Heroku – Визуализация (ID: 313468)
  • Heroku Dashboard – Classic (ID: 363831),
  • Travis CI (ID: 9216)

Компанията заяви, че не се казва, че OAuth токените са получени чрез пробив на GitHub или неговите системи, тъй като не съхранява токените в оригиналните им използваеми формати.

Освен това GitHub предупреди, че застрашен участник може да анализира съдържанието на частно хранилище, изтеглено от жертви, използвайки OAuth приложения на трети страни, за да събере допълнителни тайни, които след това могат да бъдат използвани, за да се фокусират върху други части от тяхната инфраструктура.

Платформата, собственост на Microsoft, посочи, че е открила ранни доказателства за кампанията за атака на 12 април, когато се натъкна на неоторизиран достъп до производствената си среда на NPM, използвайки компрометиран ключ за API на AWS.

кибер защита

Смята се, че този ключ за API на AWS е получен чрез изтегляне на набор от неидентифицирани частни хранилища на NPM с OAuth токен от едно от двете засегнати OAuth приложения. GitHub каза, че оттогава е премахнал токените за достъп, свързани със засегнатите приложения.

READ  Гарфийлд идва на Nickelodeon All-Star Brawl тази седмица

„В този момент ние оценяваме, че нападателят не е променил никакви пакети или не е получил достъп до данни или данни за потребителски акаунт“, каза компанията, добавяйки, че все още проверява дали нападателят е преглеждал или изтеглил частни пакети.

GitHub каза също, че в момента работи за идентифициране и уведомяване на всички известни засегнати потребители и организации, които могат да бъдат засегнати в резултат на този инцидент през следващите 72 часа.