GitHub:黑客窃取 OAuth 令牌攻击了数十家公司!

简介: GitHub:黑客窃取 OAuth 令牌攻击了数十家公司!

近日,GitHub 安全团队透露称:有证据表明,攻击者滥用了发给 Heroku 和 Travis CI 的 OAuth 用户令牌(这些被滥用的代币是发给两个第三方 OAuth 集成商的),从组织帐户下载数据,从而破坏了 GitHub 帐户。

image.png

这一信息是由 GitHub 安全团队于 2022 年 4 月 12 日开始调查后披露的。

上周五,GitHub 正式透露称:一名身份不明的“黑客”利用窃取的 OAuth 用户代币(发给 Heroku 和 Travis CI 的)非法下载数十家公司组织的私人数据。

GitHub 首席安全官 Mike Hanley 表示,受影响的组织包括 NPM,GitHub 用户和 GitHub 本身使用目标集成商维护的应用程序。

GitHub 并未受到威胁

Mike Hanley 声称,攻击者并非通过泄露 GitHub 来获得这些代币的。

这些集成商(即 Heroku 和 Travis CI)维护的应用程序由 GitHub 用户使用(包括 GitHub 本身)。但实际的 GitHub 系统没有受到影响,因为 GitHub 没有以原始格式存储这些令牌。

image.png

Mike 表示:“我们不相信攻击者能通过 GitHub 或其系统的妥协获得这些令牌,因为 GitHub 没有以原始的、可用的格式存储这些令牌。”

Mike 在他的博客文章中补充道:“我们对攻击者其他行为的分析表明,这些参与者可能正在挖掘下载的私有存储库内容,窃取的 OAuth 令牌可以访问这些内容,以获取可用于转向其他基础设施的机密。”

什么是 OAuth 访问令牌?

OAuth 是不同服务和应用程序使用的访问令牌,用于授权访问用户数据,并在不共享凭据的情况下相互通信。这是将授权从一个单一的 sign-on/SSO 服务传递到另一个应用程序的标准方法。截至 2022 年 4 月 15 日,受影响的 OAuth 应用程序列表包括:

Travis CI (ID: 9216)

Heroku Dashboard (ID: 145909)

Heroku Dashboard (ID: 628778)

Heroku Dashboard – Preview (ID: 313468)

Heroku Dashboard – Classic (ID: 363831), and

Source: GitHub

补救措施

针对此次攻击事件,GitHub 宣布称:通过泄露的 AWS API 密钥对其 NPM 生产生态系统进行未经授权的访问后发现了此次攻击活动。

image.png

据推测,该 AWS API密钥是通过使用从两个受影响的 OAuth 应用程序之一窃取的 OAuth 令牌下载一组未指明的专用 NPM 存储库获得的。GitHub 表示,它已经撤销了与受影响应用相关的访问令牌。

GitHub 安全团队进一步指出,没有迹象表明攻击者修改了任何软件包或获得了对任何用户凭据或用户帐户数据的访问权。

Mike 强调称:“攻击者没有修改任何软件包,也没有访问任何用户帐户数据或凭据。我们仍在努力了解攻击者是否查看或下载了私人软件包。 npm 使用与 GitHub 完全独立的基础设施”。

截止目前,GitHub 正在调查攻击者是否仅仅查看或下载了私人软件包。此外,该公司表示,将在未来 72 小时内通知所有受影响的受害者用户/组织。

所以,如果你也通过分析发现了自己是已知受影响的受害者用户和组织之一,那么你将在接下来的 72 小时内收到 GitHub 发出的通知电子邮件,其中包含更多详细信息和接下来要进行的步骤。

当然,如果你没有收到任何电子邮件,那就不用担心了,因为你不受此数据泄露的影响。

相关文章
|
1月前
|
存储 安全 UED
GitHub OAuth认证的Django应用
GitHub OAuth认证的Django应用
22 0
全网热议!GitHub发布的最简单的黑客入门教程,你值得拥有!
黑客(hacker)泛指擅长IT技术的人群、计算机科学家,黑客们精通各种编程语言和各类操作系统,伴随着计算机和网络的发展而产生成长黑客一词,最初曾指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员,后逐渐区分为白帽、灰帽、黑帽等,其中黑帽即骇客(cracker)。在媒体报道中,黑客一词常指软件骇客(software cracker),而与黑客(黑帽子)相对的则是白帽子(维护计算机和互联网安全)。 但是技术是死的,无关对错,错的只是使用这份技术进行违法犯罪活动的人。今天给小伙伴们分享的这份教程,本意还是分享技术,希望拿到这份教程的小伙伴能够遵守法律法规,不要想着免费吃住的场所。
全网热议!GitHub发布的最简单的黑客入门教程,你值得拥有!
黑客(hacker)泛指擅长IT技术的人群、计算机科学家,黑客们精通各种编程语言和各类操作系统,伴随着计算机和网络的发展而产生成长黑客一词,最初曾指热心于计算机技术、水平高超的电脑专家,尤其是程序设计人员,后逐渐区分为白帽、灰帽、黑帽等,其中黑帽即骇客(cracker)。在媒体报道中,黑客一词常指软件骇客(software cracker),而与黑客(黑帽子)相对的则是白帽子(维护计算机和互联网安全)。 但是技术是死的,无关对错,错的只是使用这份技术进行违法犯罪活动的人。今天给小伙伴们分享的这份教程,本意还是分享技术,希望拿到这份教程的小伙伴能够遵守法律法规,不要想着免费吃住的场所。
|
网络协议 安全 CDN
你的连接不是专用连接 攻击者可能试图从 github.com 窃取你的信息 通过修改DNS连接解决无法连接问题
你的连接不是专用连接 攻击者可能试图从 github.com 窃取你的信息 通过修改DNS连接解决无法连接问题
1376 0
|
算法 网络安全 数据安全/隐私保护
Github账号遭大规模暴力破解攻击
知名源代码仓库Github日前遭到大规模暴力破解密码的攻击,一些帐号被成功攻破。 “我们向受影响的用户发送了邮件,通知他们需要采取的措施。” “他们的密码被重置,个人访问令牌、OAuth授权和SSH密钥都已经被取消。”
370 0
Github账号遭大规模暴力破解攻击
|
存储 数据安全/隐私保护 索引
接入 GitHub OAuth 登录,user表设计
接入 GitHub OAuth 登录,user表设计
89 0
|
开发工具 数据安全/隐私保护 git
全网首发:github已经设置了令牌token,为什么还要验证用户密码
全网首发:github已经设置了令牌token,为什么还要验证用户密码
204 0
|
JSON 安全 Java
Spring Security OAuth 实现 GitHub 快捷登录
Spring Security 5中集成了OAuth的客户端模块,该模块包含以下三个子模块
Spring Security OAuth 实现 GitHub 快捷登录
|
存储 供应链 安全
GitHub告警:恶意软件正通过流行开源 IDE 攻击 Java 项目
itHub 安全博客发布了一则通知,警告用户目前正有一种新的恶意软件在攻击 Java 项目。据了解,这是一个针对 Apache NetBeans IDE 项目的开源供应链攻击,GitHub 安全团队将其称为 Octopus Scanner。