GitHub foydalanuvchilarni Heroku va Travis-CI xizmatlari uchun yaratilgan buzilgan OAuth tokenlaridan foydalangan holda shaxsiy omborlardan ma'lumotlarni yuklab olishga qaratilgan hujum haqida ogohlantirdi. Ma`lum qilinishicha, hujum paytida ba`zi tashkilotlarning shaxsiy omborlaridan ma`lumotlar sizib chiqib ketgan, bu esa Heroku PaaS platformasi va Travis-CI uzluksiz integratsiya tizimi uchun omborlarga kirishni ochib bergan. Qurbonlar orasida GitHub va NPM loyihasi ham bor edi.
Buzg'unchilar shaxsiy GitHub omborlaridan NPM loyihasi infratuzilmasida qo'llaniladigan Amazon Web Services API-ga kirish uchun kalitni ajratib olishga muvaffaq bo'lishdi. Olingan kalit AWS S3 xizmatida saqlangan NPM paketlariga kirish imkonini berdi. GitHubning fikricha, NPM omborlariga kirish huquqiga ega bo'lishiga qaramay, u paketlarni o'zgartirmagan yoki foydalanuvchi hisoblari bilan bog'liq ma'lumotlarni ololmagan. Shuningdek, GitHub.com va NPM infratuzilmalari alohida bo‘lganligi sababli, tajovuzkorlar muammoli tokenlar bloklanishidan oldin NPM bilan bog‘lanmagan ichki GitHub omborlari tarkibini yuklab olishga ulgurmaganligi qayd etilgan.
Hujum 12 aprel kuni, hujumchilar AWS API kalitidan foydalanishga uringanidan keyin aniqlangan. Keyinchalik, shunga o'xshash hujumlar boshqa ba'zi tashkilotlarga ham qayd etildi, ularda Heroku va Travis-CI dastur tokenlaridan foydalanilgan. Jabrlangan tashkilotlar nomi aytilmagan, biroq hujumdan jabrlangan barcha foydalanuvchilarga individual bildirishnomalar yuborilgan. Heroku va Travis-CI ilovalari foydalanuvchilariga anomaliyalar va noodatiy faoliyatni aniqlash uchun xavfsizlik va audit jurnallarini ko'rib chiqish tavsiya etiladi.
Tokenlar tajovuzkorlar qo‘liga qanday tushgani hozircha noma’lum, biroq GitHub ular kompaniya infratuzilmasining buzilishi natijasida olinmagan deb hisoblaydi, chunki tashqi tizimlardan kirishga ruxsat beruvchi tokenlar GitHub tomonida saqlanmaydi. foydalanish uchun mos asl formatda. Buzg'unchining xatti-harakati tahlili shuni ko'rsatdiki, shaxsiy omborlar tarkibini yuklab olishdan asosiy maqsad ularda infratuzilmaning boshqa elementlariga hujumni davom ettirish uchun ishlatilishi mumkin bo'lgan kirish kalitlari kabi maxfiy ma'lumotlar mavjudligini tahlil qilish bo'lishi mumkin. .
Manba: opennet.ru