Το GitHub λέει ότι οι χάκερ παραβίασαν δεκάδες οργανισμούς με κλεμμένα διακριτικά πρόσβασης OAuth

Η υπηρεσία φιλοξενίας αποθετηρίων που βασίζεται στο cloud, GitHub, αποκάλυψε την Παρασκευή ότι ανακάλυψε στοιχεία που δείχνουν ότι ένας ανώνυμος αντίπαλος εκμεταλλεύεται κλεμμένους κωδικούς χρηστών OAuth για μη εξουσιοδοτημένη λήψη ιδιωτικών δεδομένων από πολλούς οργανισμούς.

“Ένας εισβολέας έκανε κακή χρήση κλεμμένων διακριτικών χρηστών OAuth που εκδόθηκαν σε δύο τρίτους ενοποιητές OAuth, τον Heroku και τον Travis-CI, για να κατεβάσει δεδομένα από δεκάδες οργανισμούς, συμπεριλαμβανομένου του NPM”, ο Mike Hanley του GitHub μία δήλωση σε μια αναφορά.

κυβερνασφάλεια

Συχνά τα διακριτικά πρόσβασης OAuth μεταχειρισμένος Μέσω εφαρμογών και υπηρεσιών για να επιτρέπεται η πρόσβαση σε συγκεκριμένα κομμάτια δεδομένων χρήστη και να επικοινωνούν μεταξύ τους χωρίς να χρειάζεται να μοιράζεστε πραγματικά διαπιστευτήρια. Είναι μία από τις πιο κοινές μεθόδους που χρησιμοποιούνται για τη μετάδοση εξουσιοδότησης από μία μόνο σύνδεση (SSO) μια υπηρεσία για άλλη εφαρμογή.

Από τις 15 Απριλίου 2022, η λίστα των επηρεαζόμενων εφαρμογών OAuth έχει ως εξής:

  • Heroku Dashboard (ID: 145909)
  • Heroku Dashboard (ID: 628778)
  • Heroku Dashboard – Προεπισκόπηση (ID: 313468)
  • Heroku Dashboard – Classic (ID: 363831),
  • Travis CI (ID: 9216)

Η εταιρεία είπε ότι τα διακριτικά OAuth δεν λέγεται ότι έχουν ληφθεί μέσω παραβίασης του GitHub ή των συστημάτων του, επειδή δεν αποθηκεύει τα διακριτικά στην αρχική τους χρησιμοποιήσιμη μορφή.

Επιπλέον, το GitHub έχει προειδοποιήσει ότι ένας απειλούμενος ηθοποιός μπορεί να αναλύσει τα περιεχόμενα ενός ιδιωτικού αποθετηρίου που έχει ληφθεί από οντότητες θύματα χρησιμοποιώντας εφαρμογές OAuth τρίτων για να συγκεντρώσει πρόσθετα μυστικά που μπορούν στη συνέχεια να αξιοποιηθούν για να επικεντρωθούν σε άλλα μέρη της υποδομής τους.

Η πλατφόρμα που ανήκει στη Microsoft ανέφερε ότι βρήκε πρώιμα στοιχεία της εκστρατείας επίθεσης στις 12 Απριλίου, όταν αντιμετώπισε μη εξουσιοδοτημένη πρόσβαση στο περιβάλλον παραγωγής NPM χρησιμοποιώντας ένα παραβιασμένο κλειδί API AWS.

κυβερνασφάλεια

Πιστεύεται ότι αυτό το κλειδί API AWS αποκτήθηκε με τη λήψη ενός συνόλου αγνώστων ιδιωτικών αποθετηρίων NPM με ένα διακριτικό OAuth από μία από τις δύο επηρεαζόμενες εφαρμογές OAuth. Το GitHub είπε ότι έκτοτε έχει αφαιρέσει τα διακριτικά πρόσβασης που σχετίζονται με τις επηρεαζόμενες εφαρμογές.

READ  Ο Ninja ήθελε να προσθέσει 500.000 $ για να συντρίψει το βραβείο EVO 2019, αλλά προφανώς ήταν "Ghosted" από τη Nintendo

«Σε αυτό το σημείο, εκτιμούμε ότι ο εισβολέας δεν τροποποίησε κανένα πακέτο ή δεν απέκτησε πρόσβαση σε δεδομένα ή δεδομένα λογαριασμού χρήστη», είπε η εταιρεία, προσθέτοντας ότι εξακολουθεί να ελέγχει εάν ο εισβολέας είδε ή κατέβασε ιδιωτικά πακέτα.

Το GitHub είπε επίσης ότι αυτή τη στιγμή εργάζεται για τον εντοπισμό και την ειδοποίηση όλων των γνωστών επηρεαζόμενων χρηστών και οργανισμών που ενδέχεται να επηρεαστούν ως αποτέλεσμα αυτού του συμβάντος τις επόμενες 72 ώρες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.