GitHub нь Heroku болон Travis-CI-д зориулж үүсгэсэн эвдэрсэн OAuth жетонуудыг ашиглан хувийн хадгалах сангаас өгөгдөл татаж авах халдлагын талаар хэрэглэгчдэд анхааруулсан. Энэхүү халдлагын үр дүнд Heroku PaaS платформ болон Travis-CI тасралтгүй интеграцийн системд зориулсан репозиторуудыг нээсэн хэд хэдэн байгууллагын хувийн репозиторуудаас мэдээлэл алдагдсан гэж мэдээлж байна. GitHub болон NPM төсөл нь өртсөн хүмүүсийн дунд байв.
Халдагчид NPM төслийн дэд бүтцэд ашиглагдаж байсан Amazon Web Services API хандалтын түлхүүрийг хувийн GitHub репозитороос гаргаж авч чадсан. Энэ түлхүүр нь AWS S3-д хадгалагдсан NPM багцуудад хандах боломжийг олгосон. GitHub нь NPM репозитор руу нэвтрэх эрх олж авсан ч халдагчид багцуудыг өөрчлөөгүй, хэрэглэгчийн бүртгэлтэй холбоотой өгөгдлийг олж аваагүй гэж үзэж байна. GitHub.com болон NPM дэд бүтэц нь тусдаа байдаг тул халдагчид асуудалтай жетонуудыг хаахаас өмнө NPM-тэй холбоогүй дотоод GitHub репозиторуудын агуулгыг татаж авах боломжгүй байсныг мөн тэмдэглэв.
Халдагчид AWS API түлхүүрийг ашиглахыг оролдсоны дараа 4-р сарын 12-нд халдлагыг илрүүлсэн. Хожим нь Хероку болон Травис-CI програмын токенуудыг ашиглан өөр хэд хэдэн байгууллагад ижил төстэй халдлагуудыг илрүүлсэн. Нөлөөлөлд өртсөн байгууллагуудыг нэрлээгүй байгаа ч нөлөөлөлд өртсөн бүх хэрэглэгчдэд тус тусад нь мэдэгдэл илгээсэн байна. Heroku болон Travis-CI хэрэглэгчид өөрсдийн аюулгүй байдал, аудитын бүртгэлд гажиг, ер бусын үйл ажиллагаа байгаа эсэхийг шалгахыг зөвлөж байна.
Токенууд халдагчдын гарт хэрхэн унасан нь тодорхойгүй хэвээр байгаа ч GitHub гадны системд зориулсан хандалтын жетонуудыг GitHub дээр анхны, ашиглах боломжтой форматаар нь хадгалдаггүй тул компанийн дэд бүтцийг зөрчих замаар олж аваагүй гэж үзэж байна. Халдагчийн зан үйлд хийсэн дүн шинжилгээ нь хувийн репозиторуудын агуулгыг татаж авах гол зорилго нь бусад дэд бүтцийн элементүүдэд халдлагыг үргэлжлүүлэхэд ашиглаж болох хандалтын түлхүүр гэх мэт эмзэг өгөгдөлд дүн шинжилгээ хийх явдал байсан нь тогтоогдсон.
Эх сурвалж: opennet.ru
