Облачный сервис хостинга репозиториев GitHub в пятницу сообщил об обнаружении доказательств того, что неназванный злоумышленник воспользовался украденными OAuth-токенами пользователей для несанкционированного скачивания приватных данных нескольких организаций.
«Злоумышленник использовал украденные токены доступа OAuth, выданные двум сторонним интеграторам OAuth, Heroku и Travis-CI, для загрузки данных из десятков организаций, включая NPM» - сообщил в своем отчете Майк Хэнли из GitHub.
OAuth-токены часто используются приложениями и сервисами для авторизации доступа к определенным частям данных пользователя и взаимодействия друг с другом без необходимости делиться фактическими учетными данными. Это один из наиболее распространенных методов, используемых для передачи авторизации от сервиса единого входа (SSO) другому приложению.
По состоянию на 15 апреля 2022 года список затронутых OAuth-приложений выглядит следующим образом.
- Heroku Dashboard (ID: 145909)
- Heroku Dashboard (ID: 628778)
- Heroku Dashboard - Preview (ID: 313468)
- Heroku Dashboard - Classic (ID: 363831)
- Travis CI (ID: 9216)
По словам компании, OAuth-токены не были получены в результате взлома GitHub или его систем, поскольку компания не хранит токены в оригинальном, пригодном для использования формате.
Кроме того, GitHub предупредил, что злоумышленник может анализировать загруженное содержимое приватных репозиториев жертв, использующих эти сторонние OAuth-приложения, чтобы получить дополнительные секреты, которые затем могут быть использованы для проникновения в другие части их инфраструктуры.
Платформа, принадлежащая Microsoft, отметила, что обнаружила первые признаки хакерской активности 12 апреля, когда она столкнулась с несанкционированным доступом к своей производственной среде NPM, используя скомпрометированный ключ API AWS.
Считается, что этот ключ API AWS был получен путем загрузки набора неопределенных частных репозиториев NPM с помощью украденного OAuth-токена одного из двух пострадавших OAuth-приложений. GitHub сообщил, что после этого он отозвал маркеры доступа, связанные с пострадавшими приложениями.
«На данный момент мы считаем, что злоумышленник не изменял никаких пакетов и не получил доступа к учетным данным» - заявила компания, добавив, что все еще проводит расследование, чтобы выяснить, просматривал ли злоумышленник приватные пакеты.
GitHub также сообщил, что в настоящее время компания работает над выявлением и уведомлением всех известных пострадавших пользователей и организаций, которые могут быть затронуты в результате этого инцидента в течение следующих 72 часов.
Источник: https://is-systems.org