GitHub svela furto di dati tramite token rubati

GitHub svela furto di dati tramite token rubati

GitHub ha scoperto un furto di dati da repository privati attraverso i token OAuth rubati da applicazioni di terze parti di Heroku e Travis CI.
GitHub ha scoperto un furto di dati da repository privati attraverso i token OAuth rubati da applicazioni di terze parti di Heroku e Travis CI.

GitHub ha scoperto il 12 aprile che qualcuno ha usato token OAuth emessi da due terze parti (Heroku e Travis CI) per scaricare dati conservati da repository privati. GitHub esclude che i token siano stati ottenuti dai suoi sistemi, in quanto non sono memorizzati in formati usabili. Salesforce, proprietaria della piattaforma Heroku, ha prontamente revocato i token.

Furto di token, colpite diverse aziende

Dopo aver esaminato l’intera piattaforma, GitHub ha verificato che i token OAuth sono stati utilizzati per accedere a varie applicazioni di molte organizzazioni. Il 12 aprile è stato rilevato un accesso non autorizzato all’infrastruttura di produzione npm di GitHub, sfruttando una chiave AWS API compromessa. La chiave è stata ottenuta dall’autore dell’intrusione dopo aver scaricato repository npm privati, usando un token OAuth rubato da una delle applicazioni di terze parti (Heroku Dashboard o Travis CI).

Nonostante l’accesso non autorizzato e il furto dei dati, GitHub ritiene che l’autore non abbia modificato nessun pacchetto o guadagnato l’accesso ai dati e alle credenziali degli utenti. Al momento non ci sono prove che altri repository privati siano stati clonati usando i token OAuth rubati. Ovviamente i token sono stato revocati.

GitHub ha informato Heroku e Travis CI, oltre alle aziende coinvolte. Heroku ha avviato un’indagine, scoprendo un accesso non autorizzato all’account GitHub e ai repository privati. I token OAuth compromessi e l’account sono stati disattivati. Nelle prossime ore verranno revocati tutti i token e bloccata la creazione di nuovi token.

Fonte: GitHub
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 16 apr 2022
Link copiato negli appunti