En illvillig aktör har stulit en stor mängd data från många organisationer med OAuth-användartokens. GitHub avslöjade denna incident och avslöjade att användarsymbolerna utfärdades till Heroku & Travis. Detta innebär att hackaren stal tokens och sedan använde dem för att komma åt privata arkiv.
Enligt Github CSO, Mike Hanley, både GitHub och dess användare använder denna applikation. GitHub lagrar dem dock inte i ett format som en angripare kan utnyttja. Detta betyder att de inte kunde ha tillgång till tokens från Github-systemen.
Tyvärr, innan någon kunde märka, hade de illvilliga aktörerna redan samlat in en stor mängd data från olika organisationer. Men Hanley tror att detta är det första steget till en mer dödlig attack. Dessutom antyder analys att angriparna kan komma åt en del privata förvarsinnehåll för attacker mot andra infrastrukturer.
Berörda appar och effekter
Enligt Github CSO var de stulna apparna Heroku Dashboard med ID: 145909 och Heroku Dashboards med ID: 628778. De stal även Heroku Dashboards-Preview ID: 313468, Heroku Dashboards-Classic ID: 363831 med ID: 9 2CI1 och: Travis.
Github upptäckte attacken den 12 april. Först gick angriparen åt sin npm-produktionsinfrastruktur med en skadlig AWS API-nyckel. Sedan den 13 april upptäckte GitHub att angriparna hade stulit tredjeparts-tokens som inte fanns på dess system eller npm. Teamet vidtog omedelbart åtgärder för att säkerställa att ingen skulle använda apparna på GitHub. De meddelade Heroku & Travis-CI att de skulle undersöka händelsen och återkalla alla tokens med åtkomst till de berörda apparna. Dessutom bör de varna sina användare om incidenten omedelbart. Men skådespelarna hade redan fått tillgång till några privata arkiv och kanske några av npm-paketen som lagrats på AWS S3.
Men när det gäller Github själv har Hanley avslöjat att skådespelarna inte kunde komma åt något av dess innehåll. De kunde inte heller ändra eller komma åt något användarkonto i attackerna mot de privata förråden. Som nu undersöker GitHub-teamet händelsen. Men det finns fortfarande inga bevis för ytterligare kompromisser om de privata arkiven som GitHub äger.
GitHub arbetar för att skydda användare
GitHub kommer att fortsätta utredningen för att identifiera offerorganisationerna och meddela dem om händelsen. De kommer också att skicka e-postmeddelanden till både sina kunder och organisation med ytterligare information och vad de ska göra inom tre dagar.
Så alla borde förvänta sig e-postmeddelandet. Men om någon kund eller organisation inte fick e-postmeddelandet inom den angivna tiden betyder det att de är säkra från attacken. Dessutom rekommenderar GitHub att varje användare granskar OAuth-appen de har auktoriserat eller den som kan komma åt deras organisation. När de hittar något som inte längre är användbart bör de ta bort det.
Dessutom rekommenderas varje användare att granska sinaanvändarkontosäkerhetsloggarochorganisationens revisionsloggarför att kontrollera onormala aktiviteter. Github hävdar också att varje kund som får e-postmeddelandet kan kontakta dem angående anvisningarna i e-postmeddelandet.