GitHub ilionya watumiaji kuhusu shambulio linalolenga kupakua data kutoka kwa hazina za kibinafsi kwa kutumia tokeni za OAuth zilizoathirika zinazozalishwa kwa huduma za Heroku na Travis-CI. Inaripotiwa kuwa wakati wa shambulio hilo, data ilivuja kutoka kwa hazina za kibinafsi za mashirika fulani, ambayo ilifungua ufikiaji wa hazina kwa jukwaa la Heroku PaaS na mfumo wa ujumuishaji wa Travis-CI unaoendelea. Miongoni mwa wahasiriwa walikuwa GitHub na mradi wa NPM.
Washambuliaji waliweza kutoa kutoka kwa hazina za kibinafsi za GitHub ufunguo wa kufikia API ya Huduma za Wavuti za Amazon, inayotumiwa katika miundombinu ya mradi wa NPM. Ufunguo uliopatikana uliruhusu ufikiaji wa vifurushi vya NPM vilivyohifadhiwa katika huduma ya AWS S3. GitHub inaamini kuwa licha ya kupata hazina za NPM, haikurekebisha vifurushi au kupata data inayohusishwa na akaunti za watumiaji. Ikumbukwe pia kuwa kwa kuwa miundombinu ya GitHub.com na NPM ni tofauti, washambuliaji hawakuwa na wakati wa kupakua yaliyomo kwenye hazina za ndani za GitHub ambazo hazihusiani na NPM kabla ya ishara za shida kuzuiwa.
Shambulio hilo liligunduliwa Aprili 12, baada ya wavamizi kujaribu kutumia ufunguo wa API ya AWS. Baadaye, mashambulizi kama hayo yalirekodiwa kwa mashirika mengine, ambayo pia yalitumia ishara za maombi za Heroku na Travis-CI. Mashirika yaliyoathiriwa hayajatajwa, lakini arifa za kibinafsi zimetumwa kwa watumiaji wote walioathiriwa na shambulio hilo. Watumiaji wa programu za Heroku na Travis-CI wanahimizwa kukagua kumbukumbu za usalama na ukaguzi ili kubaini hitilafu na shughuli zisizo za kawaida.
Bado haijulikani jinsi ishara hizo zilivyoanguka mikononi mwa washambuliaji, lakini GitHub anaamini kwamba hazikupatikana kwa sababu ya maelewano ya miundombinu ya kampuni, kwani ishara za kuidhinisha ufikiaji kutoka kwa mifumo ya nje hazihifadhiwa kwa upande wa GitHub. katika umbizo la asili linalofaa kutumika. Uchambuzi wa tabia ya mshambuliaji ulionyesha kuwa lengo kuu la kupakua yaliyomo kwenye hazina za kibinafsi ni kuchambua uwepo wa data ya siri ndani yake, kama vile funguo za ufikiaji, ambazo zinaweza kutumika kuendeleza mashambulizi ya vipengele vingine vya miundombinu. .
Chanzo: opennet.ru