GitHub ha scoperto il 12 aprile che qualcuno ha usato token OAuth emessi da due terze parti (Heroku e Travis CI) per scaricare dati conservati da repository privati. GitHub esclude che i token siano stati ottenuti dai suoi sistemi, in quanto non sono memorizzati in formati usabili. Salesforce, proprietaria della piattaforma Heroku, ha prontamente revocato i token.
Furto di token, colpite diverse aziende
Dopo aver esaminato l’intera piattaforma, GitHub ha verificato che i token OAuth sono stati utilizzati per accedere a varie applicazioni di molte organizzazioni. Il 12 aprile è stato rilevato un accesso non autorizzato all’infrastruttura di produzione npm di GitHub, sfruttando una chiave AWS API compromessa. La chiave è stata ottenuta dall’autore dell’intrusione dopo aver scaricato repository npm privati, usando un token OAuth rubato da una delle applicazioni di terze parti (Heroku Dashboard o Travis CI).
Nonostante l’accesso non autorizzato e il furto dei dati, GitHub ritiene che l’autore non abbia modificato nessun pacchetto o guadagnato l’accesso ai dati e alle credenziali degli utenti. Al momento non ci sono prove che altri repository privati siano stati clonati usando i token OAuth rubati. Ovviamente i token sono stato revocati.
GitHub ha informato Heroku e Travis CI, oltre alle aziende coinvolte. Heroku ha avviato un’indagine, scoprendo un accesso non autorizzato all’account GitHub e ai repository privati. I token OAuth compromessi e l’account sono stati disattivati. Nelle prossime ore verranno revocati tutti i token e bloccata la creazione di nuovi token.
Ti potrebbe interessare
16 apr 2022