GitHub affirme que des pirates ont piraté des dizaines d’organisations avec des jetons d’accès OAuth volés

Le service d’hébergement de référentiels basé sur le cloud GitHub a révélé vendredi qu’il avait découvert des preuves d’un adversaire anonyme profitant de codes d’utilisateur OAuth volés pour télécharger sans autorisation des données privées de plusieurs organisations.

« Un attaquant a utilisé à mauvais escient des jetons d’utilisateur OAuth volés délivrés à deux intégrateurs OAuth tiers, Heroku et Travis-CI, pour télécharger des données de dizaines d’organisations, y compris NPM », Mike Hanley de GitHub une déclaration dans un rapport.

la cyber-sécurité

Souvent, les jetons d’accès OAuth sont utilisé Par des applications et des services pour permettre l’accès à des données utilisateur spécifiques et communiquer entre eux sans avoir à partager les informations d’identification réelles. C’est l’une des méthodes les plus couramment utilisées pour transmettre l’autorisation à partir d’une seule connexion (authentification unique) un service pour une autre application.

Au 15 avril 2022, la liste des applications OAuth concernées est la suivante :

  • Tableau de bord Heroku (ID : 145909)
  • Tableau de bord Heroku (ID : 628778)
  • Tableau de bord Heroku – Aperçu (ID : 313468)
  • Tableau de bord Heroku – Classique (ID : 363831),
  • Travis CI (ID: 9216)

La société a déclaré que les jetons OAuth n’auraient pas été obtenus via une violation de GitHub ou de ses systèmes, car elle ne stocke pas les jetons dans leurs formats utilisables d’origine.

De plus, GitHub a averti qu’un acteur menacé pourrait analyser le contenu d’un référentiel privé téléchargé à partir d’entités victimes à l’aide d’applications OAuth tierces pour recueillir des secrets supplémentaires qui peuvent ensuite être exploités pour se concentrer sur d’autres parties de leur infrastructure.

READ  Le producteur de Final Fantasy XVI Naoki Yoshida propose une petite mise à jour sur l'état du développement

La plate-forme appartenant à Microsoft a indiqué avoir trouvé des preuves précoces de la campagne d’attaque le 12 avril lorsqu’elle a rencontré un accès non autorisé à son environnement de production NPM à l’aide d’une clé d’API AWS compromise.

la cyber-sécurité

On pense que cette clé d’API AWS a été obtenue en téléchargeant un ensemble de référentiels NPM privés non identifiés avec un jeton OAuth à partir de l’une des deux applications OAuth concernées. GitHub a déclaré avoir depuis supprimé les jetons d’accès associés aux applications concernées.

« À ce stade, nous estimons que l’attaquant n’a modifié aucun package ni obtenu l’accès à des données ou à des données de compte d’utilisateur », a déclaré la société, ajoutant qu’elle vérifiait toujours si l’attaquant avait consulté ou téléchargé des packages privés.

GitHub a également déclaré qu’il travaillait actuellement pour identifier et notifier tous les utilisateurs et organisations concernés connus qui pourraient être affectés à la suite de cet incident au cours des 72 prochaines heures.

LEAVE A REPLY

Please enter your comment!
Please enter your name here