GitHub – Bilgisayar Korsanları Birden Çok Kuruluştan Veri İndirmek İçin OAuth Kullanıcı Tokenlerini Çaldı

Google News Abone Ol

GitHub – Bilgisayar Korsanları Birden Çok Kuruluştan Veri İndirmek İçin OAuth Kullanıcı Tokenlerini Çaldı

GitHub güvenliği, bir saldırganın Heroku ve Travis-CI'ye verilen OAuth belirteçlerini kötüye kullandığını ve npm de dahil olmak üzere birçok kuruluştan veri indirdiğini keşfetti. Heroku ve Travis-CI, GitHub'ın kendisi tarafından bile birçok GitHub kullanıcısı tarafından kullanılan OAuth uygulamalarına sahipti.

GitHub, bu OAuth belirteçlerinin GitHub'da orijinal biçimlerinde depolanmadığını ve bu nedenle GitHub'ı veya sistemlerini tehlikeye atma olasılığının olmadığını belirtti. Bu sorun GitHub tarafından 12 Nisan'da bulundu. 13 ve 14 Nisan'da GitHub, bulgularını derhal harekete geçmek için sırasıyla Heroku ve Travis-CI ile paylaştı.

GitHub, güvenliği ihlal edilmiş bu OAuth belirteçlerinin, birkaç kurban kuruluşa ait olan özel depoları indirmek için kullanıldığını bildirdi. GitHub'ın güvenlik analizi, saldırganların belirteçlerin erişebildiği depoları görmek için bu OAuth belirteçlerini kullandığını öne sürdü. Örgütlere sızmak için kullanılabilecek bilgileri çıkarmaya çalışıyorlardı.

Heroku ve Travis-CI'den etkilenen OAuth uygulamaları:

  • Heroku Kontrol Paneli (Dashboard) (ID: 145909)
  • Heroku Kontrol Paneli (Dashboard) (ID: 628778)
  • Heroku Kontrol Paneli – Önizleme (Preview) (ID: 313468)
  • Heroku Dashboard – Klasik (Classic) (ID: 363831)
  • Travis CI (ID: 9216)

GitHub ve npm

GitHub güvenliği, npm üretim altyapılarına yetkisiz erişimle karşılaştı. İsteğin güvenliği ihlal edilmiş bir AWS API anahtarından geldiğini fark ettiler. Saldırgan, çalınan OAuth jetonları aracılığıyla özel depoları indirirken API anahtarına sahip olabilir. GitHub, dahili olarak kullanılan belirteçleri hemen iptal etti.

GitHub, "Bu noktada, saldırganın herhangi bir paketi değiştirmediğini veya herhangi bir kullanıcı hesabı verisine veya kimlik bilgisine erişmediğini değerlendiriyoruz. Saldırganın özel paketleri görüntüleyip görüntülemediğini veya indirip indirmediğini anlamak için hala çalışıyoruz. GitHub şu anda GitHub.com analizimiz aracılığıyla keşfettiğimiz bilinen tüm etkilenen kurban kullanıcılarını ve kuruluşlarını tanımlamak ve bilgilendirmek için çalışıyor.

GitHub, GitHub'a ait özel depoların saldırgan tarafından klonlandığına dair bir kanıt olmadığını doğruladı.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.

Kaynak: Cyber Security News

Sonraki Gönderi Önceki Gönderi
Yorum yok
Yorum Ekle
comment url