Github警告OAuth憑證外流 遭駭客利用竊取用戶資料

Github上周公告一起用戶資訊外洩攻擊,攻擊者利用竊自第三方整合商的用戶OAuth憑證竊取Github用戶企業或組織的開發資料,有數十家企業受害。

Github上周公告一起用戶資訊外洩攻擊,攻擊者利用竊自第三方整合商的用戶OAuth憑證竊取Github用戶企業或組織的開發資料,有數十家企業受害。

Github指出,該平台安全部門4月12日發現,2家Github第三方整合業者包括Heroku及Travis-CI的OAuth用戶令牌(token)遭攻擊者竊取後,用來竊取數十家組織未公開儲存庫的資料,包括npm程式。

Github用戶使用的數個App都是由這兩家整合商維護,包括 Github.com。受影響的是兩家公司4月15日以前的OAuth 令牌。Github已註銷這些OAuth令牌重新發放,也在4月13及14日通報兩家合作夥伴。

Github解釋,在4月12日發現到其開發npm的基礎架構遭不知人士利用外洩的AWS API金鑰存取。事後分析顯示,駭客是先利用前述兩家夥伴的OAuth令牌下載了一組npm儲存庫,隨後進一步發現整體受害情況。

Github已在4月13日將Github相關的令牌註銷,以及平台上應用程式使用的npm。他們相信駭客利用這些npm已被用於下載Github.com上的私有儲存庫,此外現有在AWS S3儲存平台上的npm套件。

不過Github相信,駭客並非是經由駭入Github或其系統取得這些憑證,因為這些令牌並非Github以其原始可用的格式儲存。

他們評估還沒有任何用戶帳號資料或密碼被存取,也沒有任何套件遭到修改,也表示,尚未發現Github自己的儲存庫遭駭客以OAuth令牌複製。不過將持續調查中。

來源: Github

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416