Ein böswilliger Akteur hat mit OAuth-Benutzertokens eine große Datenmenge von vielen Organisationen gestohlen. GitHub enthüllte diesen Vorfall und gab bekannt, dass die Benutzertokens an Heroku und Travis ausgegeben wurden. Dies impliziert, dass der Hacker die Token gestohlen und sie dann verwendet hat, um auf private Repositories zuzugreifen.
Laut Github CSO, Mike Hanley, sowohl GitHub als auch seine Benutzer verwenden diese Anwendung. Allerdings speichert GitHub sie nicht in einem Format, das ein Angreifer ausnutzen könnte. Das bedeutet, dass sie nicht über die Github-Systeme auf die Token zugreifen konnten.
Leider hatten die böswilligen Akteure, bevor es jemand bemerkte, bereits große Datenmengen von verschiedenen Organisationen gesammelt. Aber Hanley glaubt, dass dies der erste Schritt zu einem noch tödlicheren Angriff ist. Darüber hinaus deuten die Analysen darauf hin, dass die Angreifer möglicherweise auf einige private Repository-Inhalte zugreifen, um Angriffe auf andere Infrastrukturen durchzuführen.
Betroffene Apps und Auswirkungen
Nach Angaben des Github CSO handelte es sich bei den gestohlenen Apps um Heroku Dashboard mit der ID: 145909 und Heroku Dashboards mit der ID: 628778. Außerdem wurden Heroku Dashboards-Preview ID: 313468, Heroku Dashboards-Classic ID: 363831 und Travis CI mit der ID: 9216 gestohlen.
Github entdeckte den Angriff am 12. April. Zunächst griff der Angreifer mit einem bösartigen AWS-API-Schlüssel auf seine npm-Produktionsinfrastruktur zu. Dann entdeckte GitHub am 13. April, dass die Angreifer Drittanbieter-Tokens gestohlen hatten, die sich nicht auf seinen Systemen oder npm befanden. Das Team ergriff sofort Maßnahmen, um sicherzustellen, dass niemand die Apps auf GitHub nutzen würde. Sie benachrichtigten Heroku und Travis-CI, um den Vorfall zu untersuchen und alle Token mit Zugriff auf die betroffenen Apps zu widerrufen. Außerdem sollten sie ihre Benutzer unverzüglich über den Vorfall informieren. Allerdings hatten die Akteure bereits auf einige private Repositorys und möglicherweise auf einige der auf AWS S3 gespeicherten npm-Pakete zugegriffen.
Aber was Github selbst betrifft, so hat Hanley enthüllt, dass die Akteure auf keinen seiner Inhalte zugreifen konnten. Außerdem konnten sie bei den Angriffen auf die privaten Repositories kein Benutzerkonto ändern oder darauf zugreifen. Derzeit untersucht das GitHub-Team den Vorfall. Es gibt jedoch immer noch keine Hinweise auf eine weitere Kompromittierung der privaten Repositories, die GitHub besitzt.
GitHub dient dem Schutz der Benutzer
GitHub wird die Untersuchung fortsetzen, um die Opferorganisationen zu identifizieren und sie über den Vorfall zu informieren. Außerdem senden sie innerhalb von drei Tagen E-Mails mit weiteren Details und Maßnahmen an ihre Kunden und ihre Organisation.
Daher sollte jeder mit der E-Mail rechnen. Wenn jedoch ein Kunde oder eine Organisation die E-Mail nicht innerhalb dieser festgelegten Zeit erhält, bedeutet dies, dass sie vor dem Angriff sicher sind. Darüber hinaus empfiehlt GitHub jedem Benutzer, die OAuth-App zu überprüfen, die er autorisiert hat oder die auf seine Organisation zugreifen kann. Sobald sie etwas finden, das nicht mehr nützlich ist, sollten sie es entfernen.
Außerdem wird jedem Benutzer empfohlen, seine Seite zu überprüfenSicherheitsprotokolle für BenutzerkontenUndÜberwachungsprotokolle der Organisationum abnormale Aktivitäten zu überprüfen. Github behauptet außerdem, dass jeder Kunde, der die E-Mail erhält, ihn bezüglich der Anweisungen in der E-Mail kontaktieren kann.