GitHub thông báo cho nạn nhân bị truy cập dữ liệu cá nhân bằng OAuth Token

tathoa0607

Moderator
Thành viên BQT
14/01/2021
19
85 bài viết
GitHub thông báo cho nạn nhân bị truy cập dữ liệu cá nhân bằng OAuth Token
GitHub Security đã bắt đầu một cuộc điều tra kẻ tấn công đánh cắp “OAuth user token” được cấp cho hai nhà tích hợp OAuth: Heroku và Travis CI nhằm tải dữ liệu từ nhiều tổ chức, bao gồm cả NPM.

5FczZLrSsVpb6VShdIwmi1PoLG-dXFogv2aP2qiE7dQPnXl6CFIIA-tkh6dF8YT8tertnN9SgvCINnMA6mfsCZT_DK6bR8g9_jSBUMZLEqnl-BY530Uvtnor9mDK2EOV4Dl5Aui9

GitHub ngăn chặn được hacker lợi dụng “OAuth user token” để tải xuống trái phép các dự án bí mật (private) của tổ chức đang được duy trì bởi Heroku và Travis CI, đồng thời khuyến nghị khách hàng tiếp tục theo dõi để cập nhật các thông tin đối với các ứng dụng OAuth bị ảnh hưởng:
  • Heroku Dashboard (ID: 145909)
  • Heroku Dashboard (ID: 628778)
  • Heroku Dashboard - Preview (ID: 313468)
  • Heroku Dashboard - Classic (ID: 363831)
  • Travis CI (ID: 9216)
Vụ việc được phát hiện vào ngày 12 tháng 4 khi GitHub thấy dấu hiệu hacker đã lợi dụng “OAuth user token” bị đánh cắp cấp cho Heroku và Travis-CI để tải xuống dữ liệu từ nhiều tổ chức, bao gồm cả NPM. Hiện tại chưa ghi nhận khách hàng nào bị lộ dữ liệu.

GitHub, nền tảng do Microsoft sở hữu cũng cho biết sẽ cảnh báo khách hàng kịp thời nếu phát hiện bị tấn công, kèm nhận định rằng hacker cũng có thể đang khai thác vào các kho lưu trữ bí mật khác để lợi dụng những lần tiếp theo.

Heroku đã hỗ trợ việc tích hợp GitHub sau khi xảy ra vụ việc và khuyến nghị người dùng lựa chọn tích hợp triển khai ứng dụng với Git hoặc các nhà cung cấp khác như GitLab hoặc Bitbucket.

Phía Travis CI cũng không tìm thấy bằng chứng về việc xâm nhập vào kho lưu trữ khách hàng tư nhân hoặc cách mà hacker có được quyền truy cập mã nguồn, đồng thời đã thu hồi “authorization key” (khóa xác thực) và “token” để ngăn chặn quyền truy cập vào hệ thống.

Theo: Thehackernews
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
authorization keys github heroku oauth token travis ci
Bên trên