Github警告，被盗的OAuth代币用于下载数十个组织的数据

最后更新：2022.04.17

Github报告说，威胁演员使用被盗的OAuth用户令牌来从几个组织中删除私有数据。

Github使用被盗的OAuth用户令牌获取对其存储库的访问，并从多个组织下载私有数据。

威胁参与者滥用被盗的OAuth用户令牌发给两个第三方OAuth集成商，Heroku和Travis-CI，以下载来自数十个组织的数据，包括NPM。GitHub不包括通过Github或其系统的妥协获得这些令牌的攻击者，该公司解释说，用于访问存储库的被盗令牌不是由GitHub以原始可用格式存储的。

4月12日，该公司向一系列未经授权访问存储在数十个组织的存储库中的一系列未经授权访问的调查。专家首次在4月12日检测到侵入，当时公司安全团队标识ifeed使用受损AWS API键对其NPM生产基础架构的IF。

OAuth应用程序。GitHub撤消了与受影响的应用程序相关联的访问令牌。

在4月12日，Github安全开始调查，发现攻击者被滥用的证据表明，攻击者滥用被盗向两个第三方OAuth集成商，Heroku和Travis-CI，下载来自数十种组织的数据，包括NPM。读取公司发布的帖子。

：145909）Heroku仪表板（ID：628778）Heroku Dashboard - 预览（ID：313468）Heroku仪表板 - 经典（ID：363831）TraviS CI（ID：9216）

此时，我们评估攻击者没有修改任何包或访问任何用户帐户数据或凭据。我们仍在努力了解攻击者是否查看或下载私人包。NPM使用Github.com完全独立的基础架构;GitHub在这个原始攻击中没有受到影响。国家公司。虽然调查仍在继续，但我们发现没有证据表明，攻击者使用被盗第三方OAuth代币克隆了其他Github拥有的私人追踪。

微软拥有的公司仍在调查受影响组织的妥协通知。 Github目前正在努力识别并通知我们通过分析所发现的所有已知受害者用户和组织跨github.com。总结本公司。这些客户将收到来自Github的通知电子邮件，其中包含其他详细信息和下一个步骤，以协助在NEX中获得自己的响应T 72小时

请投票为安全事务作为最佳欧洲网络安全博主奖奖励2022投票给您的获奖者

投票给我在弱者最好的个人（非商业）安全博客中和Tech Whiz最好的技术博客和您选择的其他人。

提名，请访问：

https://docs.google.com/forms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/view窗体[123

- END -