GitHub：黑客竊取 OAuth 令牌攻擊了數(shù)十家公司!

技術(shù)編輯：MissD丨發(fā)自 思否編輯部

公眾號：SegmentFault

近日，GitHub 安全團(tuán)隊(duì)透露稱：有證據(jù)表明，攻擊者濫用了發(fā)給 Heroku 和 Travis CI 的 OAuth 用戶令牌（這些被濫用的代幣是發(fā)給兩個(gè)第三方 OAuth 集成商的），從組織帳戶下載數(shù)據(jù)，從而破壞了 GitHub 帳戶。

這一信息是由 GitHub 安全團(tuán)隊(duì)于 2022 年 4 月 12 日開始調(diào)查后披露的。

上周五，GitHub 正式透露稱：一名身份不明的“黑客”利用竊取的 OAuth 用戶代幣（發(fā)給 Heroku 和 Travis CI 的）非法下載數(shù)十家公司組織的私人數(shù)據(jù)。

GitHub 首席安全官 Mike Hanley 表示，受影響的組織包括 NPM，GitHub 用戶和 GitHub 本身使用目標(biāo)集成商維護(hù)的應(yīng)用程序。

Mike Hanley 聲稱，攻擊者并非通過泄露 GitHub 來獲得這些代幣的。

這些集成商（即 Heroku 和 Travis CI）維護(hù)的應(yīng)用程序由 GitHub 用戶使用（包括 GitHub 本身）。但實(shí)際的 GitHub 系統(tǒng)沒有受到影響，因?yàn)?GitHub 沒有以原始格式存儲這些令牌。

Mike 表示：“我們不相信攻擊者能通過 GitHub 或其系統(tǒng)的妥協(xié)獲得這些令牌，因?yàn)?GitHub 沒有以原始的、可用的格式存儲這些令牌?！?/span>

Mike 在他的博客文章中補(bǔ)充道：“我們對攻擊者其他行為的分析表明，這些參與者可能正在挖掘下載的私有存儲庫內(nèi)容，竊取的 OAuth 令牌可以訪問這些內(nèi)容，以獲取可用于轉(zhuǎn)向其他基礎(chǔ)設(shè)施的機(jī)密?！?/span>

OAuth 是不同服務(wù)和應(yīng)用程序使用的訪問令牌，用于授權(quán)訪問用戶數(shù)據(jù)，并在不共享憑據(jù)的情況下相互通信。這是將授權(quán)從一個(gè)單一的 sign-on/SSO 服務(wù)傳遞到另一個(gè)應(yīng)用程序的標(biāo)準(zhǔn)方法。截至 2022 年 4 月 15 日，受影響的 OAuth 應(yīng)用程序列表包括：

• Travis CI (ID: 9216)
  

• Heroku Dashboard (ID: 145909)
  

• Heroku Dashboard (ID: 628778)
  

• Heroku Dashboard – Preview (ID: 313468)
  

• Heroku Dashboard – Classic (ID: 363831), and
  

• Source: GitHub

針對此次攻擊事件，GitHub 宣布稱：通過泄露的 AWS API 密鑰對其 NPM 生產(chǎn)生態(tài)系統(tǒng)進(jìn)行未經(jīng)授權(quán)的訪問后發(fā)現(xiàn)了此次攻擊活動。

據(jù)推測，該 AWS API密鑰是通過使用從兩個(gè)受影響的 OAuth 應(yīng)用程序之一竊取的 OAuth 令牌下載一組未指明的專用 NPM 存儲庫獲得的。GitHub 表示，它已經(jīng)撤銷了與受影響應(yīng)用相關(guān)的訪問令牌。

GitHub 安全團(tuán)隊(duì)進(jìn)一步指出，沒有跡象表明攻擊者修改了任何軟件包或獲得了對任何用戶憑據(jù)或用戶帳戶數(shù)據(jù)的訪問權(quán)。

Mike 強(qiáng)調(diào)稱：“攻擊者沒有修改任何軟件包，也沒有訪問任何用戶帳戶數(shù)據(jù)或憑據(jù)。我們?nèi)栽谂α私夤粽呤欠癫榭椿蛳螺d了私人軟件包。npm 使用與 GitHub 完全獨(dú)立的基礎(chǔ)設(shè)施”。

截止目前，GitHub 正在調(diào)查攻擊者是否僅僅查看或下載了私人軟件包。此外，該公司表示，將在未來 72 小時(shí)內(nèi)通知所有受影響的受害者用戶/組織。

所以，如果你也通過分析發(fā)現(xiàn)了自己是已知受影響的受害者用戶和組織之一，那么你將在接下來的 72 小時(shí)內(nèi)收到 GitHub 發(fā)出的通知電子郵件，其中包含更多詳細(xì)信息和接下來要進(jìn)行的步驟。

當(dāng)然，如果你沒有收到任何電子郵件，那就不用擔(dān)心了，因?yàn)槟悴皇艽藬?shù)據(jù)泄露的影響。