基於雲端的存儲庫託管服務者 GitHub 週五(4/15) 透露,它發現了一個身份不明駭客利用被盜 OAuth 用戶權杖(token)未經授權從多個組織下載私人數據的證據。GitHub 的 Mike Hanley在一份報告中披露,攻擊者濫用發給兩個第三方 OAuth 整合商 Heroku 和 Travis-CI被盜的 OAuth 用戶權杖,從包括 NPM 在內的數十個組織下載數據。
應用程式和服務通常使用OAuth 存取權杖來授權訪問用戶數據的特定部分並相互通訊,而無需共享實際憑證。這是用於將授權從單點登錄 ( SSO ) 服務傳遞到另一個應用程序的最常用方法之一。
根據 Hanley 的說法,受影響的 OAuth 應用程式清單如下:
Heroku 儀表板 (ID: 145909)
Heroku 儀表板 (ID: 628778)
Heroku 儀表板 – Preview (ID: 313468)
Heroku 儀表板 – Classic (ID: 363831)
Travis CI (ID: 9216)
Github表示,OAuth 的權杖並不是通過入侵GitHub或其系統獲得的,因為GitHub 並未以原始的可用格式存儲權杖。此外,GitHub 警告說,攻擊者可能正在使用這些第三方 OAuth 應用程式分析從受害者實體下載的私有存儲庫內容,被盜的 OAuth 權杖可以存取這些內容,以獲取可用於轉向其他基礎設施的機密的數據。
Github指出,它在 4 月 12 日發現了攻擊活動的早期證據,當時它遇到了使用被入侵的 AWS API 金鑰對其 NPM 的生產環境進行未經授權的存取。
這個 AWS API 金鑰被認為是通過使用從兩個受影響的 OAuth 應用程式之一中竊取的 OAuth權杖下載一組未指定的私有NPM 存儲庫獲得的。GitHub 表示,它已經撤銷了與受影響應用程式相關的存取權杖來保護 GitHub 和 NPM。
另外,Salesforce子公司 Heroku確認了存取權杖的撤銷,並稱在另行通知之前,他們不會從 Heroku 儀表板發布 OAuth權杖以防止未經授權
存取客戶的 GitHub 存儲庫。
雖然攻擊者能夠從入侵的存儲庫中竊取數據,但 GitHub 認為沒有任何套件(packages)被修改,用戶帳戶數據或憑證未在事件中被存取,並重申 npm 使用與GitHub.com 完全獨立的基礎設施;GitHub 沒有受到這次攻擊的影響, GitHub 正在努力通知所有受影響的用戶和組織並表示,儘管調查仍在繼續,但沒有發現任何證據表明攻擊者使用被盜的第三方OAuth權杖克隆了其他 GitHub 擁有的私有存儲庫。
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”