吳明宜Github上周公告一起用戶資訊外洩攻擊,攻擊者利用竊自第三方整合商的用戶OAuth憑證竊取Github用戶企業或組織的開發資料,有數十家企業受害。
Github 上周公告一起用戶資訊外洩攻擊,攻擊者利用竊自第三方整合商的用戶 OAuth 憑證竊取 Github 用戶企業或組織的開發資料,有數十家企業受害。
Github 指出,該平台安全部門 4 月 12 日發現,2 家 Github 第三方整合業者包括 Heroku 及 Travis-CI 的 OAuth 用戶令牌 (token) 遭攻擊者竊取後,用來竊取數十家組織未公開儲存庫的資料,包括 npm 程式。
Github 用戶使用的數個 App 都是由這兩家整合商維護,包括 Github.com 。受影響的是兩家公司 4 月 15 日以前的 OAuth 令牌。 Github 已註銷這些 OAuth 令牌重新發放,也在 4 月 13 及 14 日通報兩家合作夥伴。
Github 解釋,在 4 月 12 日發現到其開發 npm 的基礎架構遭不知人士利用外洩的 AWS API 金鑰存取。事後分析顯示,駭客是先利用前述兩家夥伴的 OAuth 令牌下載了一組 npm 儲存庫,隨後進一步發現整體受害情況。
Github 已在 4 月 13 日將 Github 相關的令牌註銷,以及平台上應用程式使用的 npm 。他們相信駭客利用這些 npm 已被用於下載 Github.com 上的私有儲存庫,此外現有在 AWS S3 儲存平台上的 npm 套件。
不過 Github 相信,駭客並非是經由駭入 Github 或其系統取得這些憑證,因為這些令牌並非 Github 以其原始可用的格式儲存。
他們評估還沒有任何用戶帳號資料或密碼被存取,也沒有任何套件遭到修改,也表示,尚未發現 Github 自己的儲存庫遭駭客以 OAuth 令牌複製。不過將持續調查中。
來源: Github