Heroku மற்றும் Travis-CI சேவைகளுக்காக உருவாக்கப்பட்ட சமரசம் செய்யப்பட்ட OAuth டோக்கன்களைப் பயன்படுத்தி தனிப்பட்ட களஞ்சியங்களிலிருந்து தரவைப் பதிவிறக்குவதை நோக்கமாகக் கொண்ட தாக்குதலின் பயனர்களை GitHub எச்சரித்தது. தாக்குதலின் போது, சில நிறுவனங்களின் தனிப்பட்ட களஞ்சியங்களில் இருந்து தரவு கசிந்தது, இது Heroku PaaS இயங்குதளம் மற்றும் டிராவிஸ்-CI தொடர்ச்சியான ஒருங்கிணைப்பு அமைப்புக்கான களஞ்சியங்களுக்கான அணுகலைத் திறந்தது. பாதிக்கப்பட்டவர்களில் GitHub மற்றும் NPM திட்டமும் அடங்கும்.
NPM திட்ட உள்கட்டமைப்பில் பயன்படுத்தப்படும் Amazon Web Services API ஐ அணுகுவதற்கான திறவுகோலை தனியார் கிட்ஹப் களஞ்சியங்களிலிருந்து தாக்குபவர்களால் பிரித்தெடுக்க முடிந்தது. இதன் விளைவாக வரும் விசை AWS S3 சேவையில் சேமிக்கப்பட்ட NPM தொகுப்புகளுக்கான அணுகலை அனுமதித்தது. NPM களஞ்சியங்களுக்கான அணுகலைப் பெற்றாலும், அது தொகுப்புகளை மாற்றவில்லை அல்லது பயனர் கணக்குகளுடன் தொடர்புடைய தரவைப் பெறவில்லை என்று GitHub நம்புகிறது. GitHub.com மற்றும் NPM உள்கட்டமைப்புகள் தனித்தனியாக இருப்பதால், பிரச்சனைக்குரிய டோக்கன்கள் தடுக்கப்படுவதற்கு முன்பு NPM உடன் தொடர்பில்லாத உள் GitHub களஞ்சியங்களின் உள்ளடக்கங்களைப் பதிவிறக்குவதற்கு தாக்குபவர்களுக்கு நேரம் இல்லை என்பதும் குறிப்பிடத்தக்கது.
தாக்குதல் நடத்தியவர்கள் AWS API இன் சாவியைப் பயன்படுத்த முயன்ற பிறகு, ஏப்ரல் 12 அன்று தாக்குதல் கண்டறியப்பட்டது. பின்னர், இதே போன்ற தாக்குதல்கள் வேறு சில அமைப்புகளின் மீது பதிவு செய்யப்பட்டன, அவை Heroku மற்றும் Travis-CI பயன்பாட்டு டோக்கன்களையும் பயன்படுத்தின. பாதிக்கப்பட்ட நிறுவனங்களின் பெயர் குறிப்பிடப்படவில்லை, ஆனால் தாக்குதலால் பாதிக்கப்பட்ட அனைத்து பயனர்களுக்கும் தனிப்பட்ட அறிவிப்புகள் அனுப்பப்பட்டுள்ளன. Heroku மற்றும் Travis-CI பயன்பாடுகளின் பயனர்கள் பாதுகாப்பு மற்றும் தணிக்கை பதிவுகளை மதிப்பாய்வு செய்து முரண்பாடுகள் மற்றும் அசாதாரண செயல்பாடுகளை அடையாளம் காண ஊக்குவிக்கப்படுகிறார்கள்.
டோக்கன்கள் எவ்வாறு தாக்குபவர்களின் கைகளில் விழுந்தன என்பது இன்னும் தெளிவாகத் தெரியவில்லை, ஆனால் அவை நிறுவனத்தின் உள்கட்டமைப்பின் சமரசத்தின் விளைவாக பெறப்படவில்லை என்று GitHub நம்புகிறது, ஏனெனில் வெளிப்புற அமைப்புகளிலிருந்து அணுகலை அங்கீகரிக்கும் டோக்கன்கள் GitHub பக்கத்தில் சேமிக்கப்படவில்லை. பயன்படுத்த ஏற்ற அசல் வடிவத்தில். தனிப்பட்ட களஞ்சியங்களின் உள்ளடக்கங்களைப் பதிவிறக்குவதன் முக்கிய நோக்கம், உள்கட்டமைப்பின் பிற கூறுகள் மீதான தாக்குதலைத் தொடர பயன்படுத்தக்கூடிய அணுகல் விசைகள் போன்ற ரகசியத் தரவுகளின் இருப்பை பகுப்பாய்வு செய்வதே என்று தாக்குபவர்களின் நடத்தையின் பகுப்பாய்வு காட்டுகிறது. .
ஆதாரம்: opennet.ru