Gipasidan-an sa GitHub ang mga tiggamit sa usa ka pag-atake nga gitumong sa pag-download sa datos gikan sa mga pribadong repositoryo gamit ang nakompromiso nga mga token sa OAuth nga gihimo alang sa mga serbisyo sa Heroku ug Travis-CI. Gikataho nga sa panahon sa pag-atake, ang datos na-leak gikan sa mga pribadong repositoryo sa pipila ka mga organisasyon, nga nagbukas sa pag-access sa mga repositoryo para sa Heroku PaaS nga plataporma ug sa Travis-CI nga padayon nga integrasyon nga sistema. Lakip sa mga biktima mao ang GitHub ug ang proyekto sa NPM.
Ang mga tig-atake nakahimo sa pagkuha gikan sa pribadong GitHub repository ang yawe sa pag-access sa Amazon Web Services API, nga gigamit sa NPM project infrastructure. Ang resulta nga yawe nagtugot sa pag-access sa mga pakete sa NPM nga gitipigan sa serbisyo sa AWS S3. Nagtuo ang GitHub nga bisan pa sa pag-access sa mga repositori sa NPM, wala kini magbag-o sa mga pakete o makakuha mga datos nga may kalabotan sa mga account sa gumagamit. Namatikdan usab nga tungod kay ang mga imprastraktura sa GitHub.com ug NPM managlahi, ang mga tig-atake walay panahon sa pag-download sa mga sulod sa internal nga mga repositoryo sa GitHub nga wala'y kalabutan sa NPM sa wala pa ang mga problema nga mga token gibabagan.
Ang pag-atake nakit-an kaniadtong Abril 12, pagkahuman gisulayan sa mga tig-atake nga gamiton ang yawe sa AWS API. Sa ulahi, ang susamang mga pag-atake natala sa ubang mga organisasyon, nga migamit usab sa Heroku ug Travis-CI nga mga token sa aplikasyon. Ang mga apektadong organisasyon wala hinganli, apan ang mga indibidwal nga pahibalo gipadala sa tanan nga tiggamit nga apektado sa pag-atake. Ang mga tiggamit sa Heroku ug Travis-CI nga mga aplikasyon giawhag sa pagrepaso sa seguridad ug audit logs aron mailhan ang mga anomaliya ug dili kasagaran nga kalihokan.
Dili pa klaro kung giunsa ang mga token nahulog sa mga kamot sa mga nag-atake, apan ang GitHub nagtuo nga wala sila nakuha ingon usa ka sangputanan sa usa ka pagkompromiso sa imprastraktura sa kompanya, tungod kay ang mga token alang sa pagtugot sa pag-access gikan sa mga eksternal nga sistema wala gitipigan sa kilid sa GitHub. sa orihinal nga pormat nga angay gamiton. Ang pag-analisar sa pamatasan sa tig-atake nagpakita nga ang panguna nga katuyoan sa pag-download sa mga sulud sa mga pribadong repositoryo lagmit mao ang pag-analisar sa presensya sa kompidensyal nga datos sa kanila, sama sa mga yawe sa pag-access, nga magamit aron mapadayon ang pag-atake sa ubang mga elemento sa imprastraktura. .
Source: opennet.ru