GitHub zegt dat hackers tientallen organisaties schenden met behulp van gestolen OAuth-toegangstokens

OAuth-toegangstokens Nachrichten

Cloudgebaseerde repository-hostingservice GitHub heeft vrijdag onthuld dat het bewijs heeft gevonden van een niet nader genoemde tegenstander die profiteerde van gestolen OAuth-gebruikerstokens om ongeoorloofd privégegevens van verschillende organisaties te downloaden.

“Een aanvaller misbruikte gestolen OAuth-gebruikerstokens die zijn uitgegeven aan twee externe OAuth-integrators, Heroku en Travis-CI, om gegevens te downloaden van tientallen organisaties, waaronder NPM”, zegt Mike Hanley van GitHub. onthuld in een rapport.

OAuth-toegangstokens zijn vaak gebruikt door apps en services om toegang tot specifieke delen van de gegevens van een gebruiker te autoriseren en met elkaar te communiceren zonder de daadwerkelijke inloggegevens te hoeven delen. Het is een van de meest gebruikte methoden om autorisatie door te geven via eenmalige aanmelding (SSO) service naar een andere toepassing.

Vanaf 15 april 2022 is de lijst met getroffen OAuth-applicaties als volgt:

  • Heroku-dashboard (ID: 145909)
  • Heroku-dashboard (ID: 628778)
  • Heroku-dashboard – voorbeeld (ID: 313468)
  • Heroku Dashboard – Klassiek (ID: 363831), en
  • Travis-CI (ID: 9216)

De OAuth-tokens zouden niet zijn verkregen via een inbreuk op GitHub of zijn systemen, zei het bedrijf, omdat het de tokens niet in hun originele, bruikbare formaten opslaat.

Bovendien waarschuwde GitHub dat de dreigingsactor mogelijk de gedownloade privé-repository-inhoud analyseert van slachtofferentiteiten die deze OAuth-apps van derden gebruiken om extra geheimen te achterhalen die vervolgens kunnen worden gebruikt om naar andere delen van hun infrastructuur te draaien.

Het Microsoft-platform merkte op dat het op 12 april vroeg bewijs van de aanvalscampagne vond toen het ongeautoriseerde toegang tot zijn NPM-productieomgeving ondervond met behulp van een gecompromitteerde AWS API-sleutel.

Deze AWS API-sleutel is vermoedelijk verkregen door het downloaden van een set niet-gespecificeerde privé NPM-repository’s met behulp van het gestolen OAuth-token van een van de twee getroffen OAuth-applicaties. GitHub zei dat het sindsdien de toegangstokens heeft ingetrokken die zijn gekoppeld aan de getroffen apps.

“Op dit moment beoordelen we dat de aanvaller geen pakketten heeft gewijzigd of toegang heeft gekregen tot gebruikersaccountgegevens of inloggegevens”, zei het bedrijf, eraan toevoegend dat het nog steeds onderzoekt om vast te stellen of de aanvaller privépakketten heeft bekeken of gedownload.

GitHub zei ook dat het momenteel werkt aan het identificeren en informeren van alle bekende getroffen slachtoffergebruikers en organisaties die mogelijk worden getroffen als gevolg van dit incident in de komende 72 uur.

David
Rate author
Hackarizona