GitHub-ը նախազգուշացրել է օգտատերերին հարձակման մասին, որի նպատակն է անձնական պահոցներից տվյալներ ներբեռնել՝ օգտագործելով Heroku և Travis-CI ծառայությունների համար ստեղծված վտանգված OAuth նշանները: Հաղորդվում է, որ հարձակման ժամանակ տվյալների արտահոսք է եղել որոշ կազմակերպությունների մասնավոր պահոցներից, որոնք բացել են մուտք դեպի պահեստներ Heroku PaaS հարթակի և Travis-CI շարունակական ինտեգրման համակարգի համար։ Զոհերի թվում էին GitHub-ը և NPM նախագիծը:
Հարձակվողները կարողացել են մասնավոր GitHub-ի պահոցներից հանել Amazon Web Services API-ին մուտք գործելու բանալին, որն օգտագործվում է NPM նախագծի ենթակառուցվածքում: Ստացված բանալին թույլ էր տալիս մուտք գործել AWS S3 ծառայությունում պահվող NPM փաթեթներ: GitHub-ը կարծում է, որ չնայած NPM-ի պահոցներին մուտք գործելուն, այն չի փոփոխել փաթեթները և չի ստացել օգտատերերի հաշիվների հետ կապված տվյալներ: Նշվում է նաև, որ քանի որ GitHub.com և NPM ենթակառուցվածքները առանձին են, հարձակվողները ժամանակ չեն ունեցել ներբեռնելու NPM-ի հետ չկապակցված ներքին GitHub պահոցների բովանդակությունը նախքան խնդրահարույց նշանների արգելափակումը:
Հարձակումը հայտնաբերվել է ապրիլի 12-ին, այն բանից հետո, երբ հարձակվողները փորձել են օգտագործել AWS API-ի բանալին: Ավելի ուշ նմանատիպ հարձակումներ են գրանցվել մի քանի այլ կազմակերպությունների վրա, որոնք նույնպես օգտագործել են Heroku և Travis-CI հավելվածների թոքենները։ Տուժած կազմակերպությունների անունները չեն նշվում, սակայն անհատական ծանուցումներ են ուղարկվել հարձակումից տուժած բոլոր օգտատերերին: Heroku և Travis-CI հավելվածների օգտատերերին խրախուսվում է վերանայել անվտանգության և աուդիտի մատյանները՝ հայտնաբերելու անոմալիաները և անսովոր գործունեությունը:
Դեռևս պարզ չէ, թե ինչպես են նշանագրերը հայտնվել հարձակվողների ձեռքում, սակայն GitHub-ը կարծում է, որ դրանք ձեռք չեն բերվել ընկերության ենթակառուցվածքի փոխզիջման արդյունքում, քանի որ արտաքին համակարգերից մուտքի թույլտվության ժետոնները չեն պահվում GitHub-ի կողմում։ օգտագործման համար հարմար օրիգինալ ձևաչափով: Հարձակվողի վարքագծի վերլուծությունը ցույց է տվել, որ մասնավոր պահոցների բովանդակությունը ներբեռնելու հիմնական նպատակը, հավանաբար, կլինի վերլուծել դրանցում գաղտնի տվյալների առկայությունը, ինչպիսիք են մուտքի բանալիները, որոնք կարող են օգտագործվել ենթակառուցվածքի այլ տարրերի վրա հարձակումը շարունակելու համար: .
Source: opennet.ru