GitHub hefur varað notendur við árás sem miðar að því að hlaða niður gögnum úr einkageymslum með því að nota brotna OAuth-tákn sem voru búin til fyrir Heroku og Travis-CI. Árásin leiddi að sögn til gagnaleka úr einkageymslum sem tilheyrðu nokkrum samtökum sem höfðu opnað geymslur fyrir Heroku PaaS kerfið og Travis-CI samfellda samþættingarkerfið. GitHub og NPM verkefnið voru meðal þeirra sem urðu fyrir barðinu á árásinni.
Árásarmennirnir tókst að draga út aðgangslykil fyrir Amazon Web Services API sem notaður var í NPM verkefnisinnviðunum úr einkareknum GitHub geymslum. Þessi lykill veitti aðgang að NPM pakka sem geymdir voru í AWS S3. GitHub telur að þrátt fyrir að fá aðgang að NPM geymslum hafi árásarmennirnir ekki breytt pakka eða fengið gögn sem tengjast notendareikningum. Einnig er tekið fram að þar sem GitHub.com og NPM innviðirnir eru aðskildir gátu árásarmennirnir ekki sótt innihald innri GitHub geymslum sem ekki tengdust NPM áður en vandamálakenndum táknum var lokað.
Árásin var greind 12. apríl eftir að árásarmenn reyndu að nota AWS API lykil. Svipaðar árásir voru síðar greindar á nokkrar aðrar stofnanir, einnig með Heroku og Travis-CI forritatáknum. Ekki hefur verið gefið upp hvaða stofnanir urðu fyrir áhrifum, en öllum notendum sem urðu fyrir áhrifum hefur verið sent einstaklingsbundnar tilkynningar. Notendum Heroku og Travis-CI er bent á að fara yfir öryggis- og endurskoðunarskrár sínar til að leita að frávikum og óvenjulegri virkni.
Hvernig aðgangslyklarnir komust í hendur árásarmannanna er enn óljóst, en GitHub telur að þeir hafi ekki verið aflað með því að brjóta innviði fyrirtækisins, þar sem aðgangslyklar fyrir utanaðkomandi kerfi eru ekki geymdir á GitHub í upprunalegu, nothæfu sniði. Greining á hegðun árásarmannsins leiddi í ljós að aðaltilgangur niðurhals á innihaldi einkagagnasafna var líklega að greina þau í leit að viðkvæmum gögnum, svo sem aðgangslyklum, sem hægt væri að nota til að halda áfram árásinni á aðra innviði.
Heimild: opennet.ru
