GitHub monuit utentes oppugnationis quae data sunt ex privatis repositoriis ad emissarium adhibitis signis suspectus OAuth generatis ad officia Heroku et Travis-CI generata. Ferunt in oppugnatione datam esse emanasse ex repositoriis privatis aliquarum Institutorum, quae aditum repositoriis aperuerunt pro suggestu Heroku Paas et systematis Travis-CI continuam integrationem. Inter victimas GitHub et NPM accipiebantur.
Oppugnatores ex repositoriis privatis GitHub clavem extrahere potuerunt ad Services API Amazonum accessere, in NPM projectura infrastructura adhibita. Clavis inde permissus accessus ad fasciculos NPM in ministerio AWS S3 conditas. GitHub credit non obstante accessu ad NPM repositoria, fasciculos non mutare vel notitias cum rationibus usoris consociatas obtinere. Etiam notandum est, cum substructiones GitHub.com et NPM separatae sint, oppugnatores tempus non fuisse repositoria GitHub interiorum contenta cum NPM coniungi antequam problematica signa obsiderentur.
Oppugnatio deprehensa est die 12 mensis Aprilis, postquam oppugnatores uti clavem ad AWS API uti conati sunt. Postea similes impetus de quibusdam aliis Institutis scripti sunt, quibus etiam signis adhibitis Heroku et Travis-CI adhibita sunt. Institutiones affectae non nominatae sunt, sed notificationes singulae missae sunt omnibus usoribus ab oppugnatione affectis. Users applicationes Heroku et Travis-CI incitantur ad securitatem recensendam et acta audienda ad cognoscendas anomalias et inusitatas operationes.
Nondum patet quomodo signa in manus oppugnantium inciderunt, sed GitHub credit se consecutos non esse propter pactionem infrastructuram societatis, cum signa ad accessum ab extraneis systematibus licentiae in parte GitHub conditum non sint. in forma originali usui aptum. Analysis morum oppugnatoris ostendit principale propositum accipiendi contenta repositoriorum privatorum verisimile esse futuram praesentiam notitiarum secretarum in eis resolvere, ut claves accessus, quae ad impetum in aliis elementis infrastructurae adhiberi possent. .
Source: opennet.ru