近日,GitHub 平安团队走漏称:有证据表明,攻击者滥用了发给 Heroku 和 Travis CI 的 OAuth 用户令牌(这些被滥用的代币是发给两个第三方 OAuth 集成商的),从组织帐户下载数据,从而毁坏了 GitHub 帐户。
这一信息是由 GitHub 平安团队于 2022 年 4 月 12 日开始考察后披露的。
上周五,GitHub 正式走漏称:一名身份不明的“黑客”利用窃取的 OAuth 用户代币(发给 Heroku 和 Travis CI 的)非法下载数十家公司组织的私人数据。
GitHub 首席平安官 Mike Hanley 示意,受影响的组织包含 NPM,GitHub 用户和 GitHub 自身应用指标集成商保护的应用程序。
GitHub 并未受到威逼
Mike Hanley 宣称,攻击者并非通过泄露 GitHub 来取得这些代币的。
这些集成商(即 Heroku 和 Travis CI)保护的应用程序由 GitHub 用户应用(包含 GitHub 自身)。但理论的 GitHub 零碎没有受到影响,因为 GitHub 没有以原始格局存储这些令牌。
Mike 示意:“咱们不置信攻击者能通过 GitHub 或其零碎的斗争取得这些令牌,因为 GitHub 没有以原始的、可用的格局存储这些令牌。”
Mike 在他的博客文章中补充道:“咱们对攻击者其余行为的分析表明,这些参与者可能正在开掘下载的公有存储库内容,窃取的 OAuth 令牌能够拜访这些内容,以获取可用于转向其余基础设施的秘密。”
什么是 OAuth 拜访令牌?
OAuth 是不同服务和应用程序应用的拜访令牌,用于受权拜访用户数据,并在不共享凭据的状况下互相通信。这是将受权从一个繁多的 sign-on/SSO 服务传递到另一个应用程序的规范办法。截至 2022 年 4 月 15 日,受影响的 OAuth 应用程序列表包含:
Travis CI (ID: 9216)
Heroku Dashboard (ID: 145909)
Heroku Dashboard (ID: 628778)
Heroku Dashboard – Preview (ID: 313468)
Heroku Dashboard – Classic (ID: 363831), and
Source: GitHub
补救措施
针对此次攻打事件,GitHub 发表称:通过泄露的 AWS API 密钥对其 NPM 生产生态系统进行未经受权的拜访后发现了此次攻打流动。
据揣测,该 AWS API 密钥是通过应用从两个受影响的 OAuth 应用程序之一窃取的 OAuth 令牌下载一组未指明的专用 NPM 存储库取得的。GitHub 示意,它曾经撤销了与受影响利用相干的拜访令牌。
GitHub 平安团队进一步指出,没有迹象表明攻击者批改了任何软件包或取得了对任何用户凭据或用户帐户数据的拜访权。
Mike 强调称:“攻击者没有批改任何软件包,也没有拜访任何用户帐户数据或凭据。咱们仍在致力理解攻击者是否查看或下载了私人软件包。npm 应用与 GitHub 齐全独立的基础设施”。
截止目前,GitHub 正在考察攻击者是否仅仅查看或下载了私人软件包。此外,该公司示意,将在将来 72 小时内告诉所有受影响的受害者用户 / 组织。
所以,如果你也通过剖析发现了本人是已知受影响的受害者用户和组织之一,那么你将在接下来的 72 小时内收到 GitHub 收回的告诉电子邮件,其中蕴含更多详细信息和接下来要进行的步骤。
当然,如果你没有收到任何电子邮件,那就不必放心了,因为你不受此数据泄露的影响。