GitHub เตือนผู้ใช้ถึงการโจมตีที่มุ่งดาวน์โหลดข้อมูลจากที่เก็บข้อมูลส่วนตัวโดยใช้โทเค็น OAuth ที่ถูกบุกรุกซึ่งสร้างขึ้นสำหรับบริการ Heroku และ Travis-CI มีรายงานว่าในระหว่างการโจมตี ข้อมูลรั่วไหลจากพื้นที่เก็บข้อมูลส่วนตัวของบางองค์กร ซึ่งเปิดการเข้าถึงพื้นที่เก็บข้อมูลสำหรับแพลตฟอร์ม Heroku PaaS และระบบบูรณาการอย่างต่อเนื่องของ Travis-CI ในบรรดาผู้ที่ตกเป็นเหยื่อ ได้แก่ GitHub และโครงการ NPM
ผู้โจมตีสามารถดึงคีย์เพื่อเข้าถึง Amazon Web Services API ที่ใช้ในโครงสร้างพื้นฐานของโครงการ NPM จากที่เก็บ GitHub ส่วนตัวได้ คีย์ผลลัพธ์ที่อนุญาตให้เข้าถึงแพ็คเกจ NPM ที่จัดเก็บไว้ในบริการ AWS S3 GitHub เชื่อว่าแม้จะสามารถเข้าถึงพื้นที่เก็บข้อมูล NPM ได้ แต่ก็ไม่ได้แก้ไขแพ็คเกจหรือรับข้อมูลที่เกี่ยวข้องกับบัญชีผู้ใช้ มีการตั้งข้อสังเกตด้วยว่าเนื่องจากโครงสร้างพื้นฐาน GitHub.com และ NPM แยกจากกัน ผู้โจมตีจึงไม่มีเวลาดาวน์โหลดเนื้อหาของที่เก็บ GitHub ภายในที่ไม่เกี่ยวข้องกับ NPM ก่อนที่โทเค็นที่เป็นปัญหาจะถูกบล็อก
ตรวจพบการโจมตีเมื่อวันที่ 12 เมษายน หลังจากที่ผู้โจมตีพยายามใช้คีย์ไปยัง AWS API ต่อมา มีการบันทึกการโจมตีที่คล้ายกันในองค์กรอื่นๆ บางแห่ง ซึ่งใช้โทเค็นแอปพลิเคชัน Heroku และ Travis-CI เช่นกัน องค์กรที่ได้รับผลกระทบไม่ได้รับการตั้งชื่อ แต่การแจ้งเตือนส่วนบุคคลได้ถูกส่งไปยังผู้ใช้ทุกคนที่ได้รับผลกระทบจากการโจมตี ผู้ใช้แอปพลิเคชัน Heroku และ Travis-CI ได้รับการสนับสนุนให้ตรวจสอบบันทึกความปลอดภัยและการตรวจสอบเพื่อระบุความผิดปกติและกิจกรรมที่ผิดปกติ
ยังไม่ชัดเจนว่าโทเค็นตกไปอยู่ในมือของผู้โจมตีได้อย่างไร แต่ GitHub เชื่อว่าโทเค็นเหล่านั้นไม่ได้มาอันเป็นผลมาจากการประนีประนอมของโครงสร้างพื้นฐานของบริษัท เนื่องจากโทเค็นสำหรับการอนุญาตการเข้าถึงจากระบบภายนอกไม่ได้ถูกจัดเก็บไว้ที่ฝั่ง GitHub ในรูปแบบเดิมเหมาะแก่การใช้งาน การวิเคราะห์พฤติกรรมของผู้โจมตีแสดงให้เห็นว่าจุดประสงค์หลักของการดาวน์โหลดเนื้อหาของที่เก็บข้อมูลส่วนตัวนั้นมีแนวโน้มที่จะเป็นการวิเคราะห์การมีอยู่ของข้อมูลที่เป็นความลับในนั้น เช่น คีย์การเข้าถึง ซึ่งสามารถใช้เพื่อโจมตีองค์ประกอบอื่น ๆ ของโครงสร้างพื้นฐานต่อไปได้ .
ที่มา: opennet.ru