GitHub affirme que les pirates ont violé des dizaines d’organisations en utilisant des jetons d’accès OAuth volés

OAuth-toegangstokens Des nouvelles

Le service d’hébergement de référentiels basé sur le cloud GitHub a révélé vendredi avoir découvert des preuves d’un adversaire anonyme capitalisant sur des jetons d’utilisateur OAuth volés pour télécharger sans autorisation des données privées de plusieurs organisations.

« Un attaquant a abusé de jetons d’utilisateur OAuth volés délivrés à deux intégrateurs OAuth tiers, Heroku et Travis-CI, pour télécharger des données de dizaines d’organisations, y compris NPM », a déclaré Mike Hanley de GitHub. divulgué dans un rapport.

Les jetons d’accès OAuth sont souvent utilisé par des applications et des services pour autoriser l’accès à des parties spécifiques des données d’un utilisateur et communiquer entre eux sans avoir à partager les informations d’identification réelles. C’est l’une des méthodes les plus couramment utilisées pour transmettre l’autorisation à partir d’une authentification unique (authentification unique) service vers une autre application.

Au 15 avril 2022, la liste des applications OAuth concernées est la suivante :

  • Tableau de bord Heroku (ID : 145909)
  • Tableau de bord Heroku (ID : 628778)
  • Tableau de bord Heroku – Aperçu (ID : 313468)
  • Tableau de bord Heroku – Classique (ID : 363831) et
  • Travis CI (ID: 9216)

Les jetons OAuth n’auraient pas été obtenus via une violation de GitHub ou de ses systèmes, a déclaré la société, car elle ne stocke pas les jetons dans leurs formats d’origine utilisables.

De plus, GitHub a averti que l’acteur de la menace pourrait analyser le contenu du référentiel privé téléchargé des entités victimes à l’aide de ces applications OAuth tierces pour glaner des secrets supplémentaires qui pourraient ensuite être exploités pour pivoter vers d’autres parties de leur infrastructure.

La plate-forme appartenant à Microsoft a noté qu’elle avait trouvé les premières preuves de la campagne d’attaque le 12 avril lorsqu’elle a rencontré un accès non autorisé à son environnement de production NPM à l’aide d’une clé d’API AWS compromise.

Cette clé d’API AWS aurait été obtenue en téléchargeant un ensemble de référentiels NPM privés non spécifiés à l’aide du jeton OAuth volé à partir de l’une des deux applications OAuth concernées. GitHub a déclaré avoir depuis révoqué les jetons d’accès associés aux applications concernées.

« À ce stade, nous estimons que l’attaquant n’a modifié aucun package ni obtenu l’accès à des données ou informations d’identification de compte d’utilisateur », a déclaré la société, ajoutant qu’elle enquêtait toujours pour déterminer si l’attaquant avait consulté ou téléchargé des packages privés.

GitHub a également déclaré qu’il s’efforçait actuellement d’identifier et de notifier tous les utilisateurs victimes connus et les organisations susceptibles d’être touchés par cet incident au cours des 72 prochaines heures.

David
Rate author
Hackarizona