Cloudgebaseerde repository-hostingservice GitHub heeft vrijdag onthuld dat het bewijs heeft gevonden dat een naamloze tegenstander misbruik maakt van gestolen OAuth-gebruikerscodes om ongeautoriseerde download van privégegevens van meerdere organisaties.
“Een aanvaller misbruikte gestolen OAuth-gebruikerstokens die zijn uitgegeven aan twee externe OAuth-integrators, Heroku en Travis-CI, om gegevens te downloaden van tientallen organisaties, waaronder NPM”, Mike Hanley van GitHub een verklaring in een rapport.
Vaak zijn OAuth.-toegangstokens: gebruikt Door applicaties en services om toegang te verlenen tot specifieke stukjes gebruikersgegevens en met elkaar te communiceren zonder daadwerkelijke inloggegevens te hoeven delen. Het is een van de meest gebruikte methoden om autorisatie door te geven vanaf een enkele login (SSO) een dienst voor een andere toepassing.
Vanaf 15 april 2022 is de lijst met getroffen OAuth-applicaties als volgt:
- Heroku-dashboard (ID: 145909)
- Heroku-dashboard (ID: 628778)
- Heroku-dashboard – voorbeeld (ID: 313468)
- Heroku Dashboard – Klassiek (ID: 363831),
- Travis-CI (ID: 9216)
Het bedrijf zei dat de OAuth-tokens niet zouden zijn verkregen via een inbreuk op GitHub of zijn systemen, omdat het de tokens niet in hun oorspronkelijke bruikbare formaten opslaat.
Bovendien heeft GitHub gewaarschuwd dat een bedreigde actor de inhoud van een privérepository kan analyseren die is gedownload van slachtofferentiteiten met behulp van OAuth-applicaties van derden om aanvullende geheimen te verzamelen die vervolgens kunnen worden gebruikt om zich op andere delen van hun infrastructuur te concentreren.
Het Microsoft-platform gaf aan dat het op 12 april vroeg bewijs van de aanvalscampagne vond toen het ongeautoriseerde toegang tot zijn NPM-productieomgeving ondervond met behulp van een gecompromitteerde AWS API-sleutel.
Er wordt aangenomen dat deze AWS API-sleutel is verkregen door het downloaden van een set niet-geïdentificeerde privé NPM-repository’s met een OAuth-token van een van de twee getroffen OAuth-applicaties. GitHub zei dat het sindsdien toegangstokens heeft verwijderd die zijn gekoppeld aan de getroffen apps.
“Op dit moment beoordelen we dat de aanvaller geen pakketten heeft gewijzigd of toegang heeft gekregen tot gegevens of gegevens van gebruikersaccounts”, zei het bedrijf, eraan toevoegend dat het nog steeds aan het controleren was of de aanvaller privépakketten had bekeken of gedownload.
GitHub zei ook dat het momenteel werkt aan het identificeren en informeren van alle bekende getroffen gebruikers en organisaties die mogelijk worden getroffen als gevolg van dit incident in de komende 72 uur.
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”