近日,GitHub 安全團隊透露稱:有證據表明,攻擊者濫用了發給 Heroku 和 Travis CI 的 OAuth 使用者令牌(這些被濫用的代幣是發給兩個第三方 OAuth 整合商的),從組織帳戶下載資料,從而破壞了 GitHub 帳戶。
這一資訊是由 GitHub 安全團隊於 2022 年 4 月 12 日開始調查後披露的。
上週五,GitHub 正式透露稱:一名身份不明的“黑客”利用竊取的 OAuth 使用者代幣(發給 Heroku 和 Travis CI 的)非法下載數十家公司組織的私人資料。
GitHub 首席安全官 Mike Hanley 表示,受影響的組織包括 NPM,GitHub 使用者和 GitHub 本身使用目標整合商維護的應用程式。
GitHub 並未受到威脅
Mike Hanley 聲稱,攻擊者並非通過洩露 GitHub 來獲得這些代幣的。
這些整合商(即 Heroku 和 Travis CI)維護的應用程式由 GitHub 使用者使用(包括 GitHub 本身)。但實際的 GitHub 系統沒有受到影響,因為 GitHub 沒有以原始格式儲存這些令牌。
Mike 表示:“我們不相信攻擊者能通過 GitHub 或其系統的妥協獲得這些令牌,因為 GitHub 沒有以原始的、可用的格式儲存這些令牌。”
Mike 在他的部落格文章中補充道:“我們對攻擊者其他行為的分析表明,這些參與者可能正在挖掘下載的私有儲存庫內容,竊取的 OAuth 令牌可以訪問這些內容,以獲取可用於轉向其他基礎設施的機密。”
什麼是 OAuth 訪問令牌?
OAuth 是不同服務和應用程式使用的訪問令牌,用於授權訪問使用者資料,並在不共享憑據的情況下相互通訊。這是將授權從一個單一的 sign-on/SSO 服務傳遞到另一個應用程式的標準方法。截至 2022 年 4 月 15 日,受影響的 OAuth 應用程式列表包括:
Travis CI (ID: 9216)
Heroku Dashboard (ID: 145909)
Heroku Dashboard (ID: 628778)
Heroku Dashboard – Preview (ID: 313468)
Heroku Dashboard – Classic (ID: 363831), and
Source: GitHub
補救措施
針對此次攻擊事件,GitHub 宣佈稱:通過洩露的 AWS API 金鑰對其 NPM 生產生態系統進行未經授權的訪問後發現了此次攻擊活動。
據推測,該 AWS API金鑰是通過使用從兩個受影響的 OAuth 應用程式之一竊取的 OAuth 令牌下載一組未指明的專用 NPM 儲存庫獲得的。GitHub 表示,它已經撤銷了與受影響應用相關的訪問令牌。
GitHub 安全團隊進一步指出,沒有跡象表明攻擊者修改了任何軟體包或獲得了對任何使用者憑據或使用者帳戶資料的訪問權。
Mike 強調稱:“攻擊者沒有修改任何軟體包,也沒有訪問任何使用者帳戶資料或憑據。我們仍在努力瞭解攻擊者是否檢視或下載了私人軟體包。 npm 使用與 GitHub 完全獨立的基礎設施”。
截止目前,GitHub 正在調查攻擊者是否僅僅檢視或下載了私人軟體包。此外,該公司表示,將在未來 72 小時內通知所有受影響的受害者使用者/組織。
所以,如果你也通過分析發現了自己是已知受影響的受害者使用者和組織之一,那麼你將在接下來的 72 小時內收到 GitHub 發出的通知電子郵件,其中包含更多詳細資訊和接下來要進行的步驟。
當然,如果你沒有收到任何電子郵件,那就不用擔心了,因為你不受此資料洩露的影響。