GitHub cho biết tin tặc đã xâm nhập hàng chục tổ chức bằng cách sử dụng mã thông báo truy cập OAuth bị đánh cắp

Mã thông báo truy cập OAuth

Dịch vụ lưu trữ kho lưu trữ dựa trên nền tảng đám mây GitHub hôm thứ Sáu đã tiết lộ rằng họ đã phát hiện ra bằng chứng về việc một kẻ thù giấu tên lợi dụng mã thông báo người dùng OAuth bị đánh cắp để tải xuống trái phép dữ liệu cá nhân từ một số tổ chức.

“Kẻ tấn công đã lạm dụng mã thông báo người dùng OAuth bị đánh cắp được cấp cho hai nhà tích hợp OAuth bên thứ ba, Heroku và Travis-CI, để tải xuống dữ liệu từ hàng chục tổ chức, bao gồm cả NPM”, Mike Hanley của GitHub tiết lộ trong một báo cáo.

Mã thông báo truy cập OAuth thường được các ứng dụng và dịch vụ sử dụng để cho phép truy cập vào các phần cụ thể trong dữ liệu của người dùng và giao tiếp với nhau mà không cần phải chia sẻ thông tin xác thực thực tế. Đây là một trong những phương pháp phổ biến nhất được sử dụng để chuyển ủy quyền từ một dịch vụ đăng nhập một lần (SSO) sang một ứng dụng khác.

Kể từ ngày 15 tháng 4 năm 2022, danh sách các ứng dụng OAuth bị ảnh hưởng như sau:

Trang tổng quan Heroku (ID: 145909) Trang tổng quan Heroku (ID: 628778) Trang tổng quan Heroku – Xem trước (ID: 313468) Trang tổng quan Heroku – Cổ điển (ID: 363831) và Travis CI (ID: 9216)

Công ty cho biết không được lấy thông qua vi phạm GitHub hoặc hệ thống của nó, công ty cho biết, vì nó không lưu trữ mã thông báo ở định dạng ban đầu, có thể sử dụng được.

Xem tiếp:   14 cuộc tấn công XS-Leaks (Rò rỉ trên nhiều trang web) mới ảnh hưởng đến tất cả các trình duyệt web hiện đại

Ngoài ra, GitHub cảnh báo rằng tác nhân đe dọa có thể đang phân tích nội dung kho lưu trữ riêng tư đã tải xuống từ các thực thể nạn nhân bằng cách sử dụng các ứng dụng OAuth của bên thứ ba này để thu thập thêm các bí mật mà sau đó có thể được tận dụng để xoay chuyển đến các phần khác trong cơ sở hạ tầng của họ.

Nền tảng do sở hữu lưu ý rằng họ đã tìm thấy bằng chứng ban đầu về chiến dịch tấn công vào ngày 12 tháng 4 khi nó gặp phải truy cập trái phép vào môi trường sản xuất NPM bằng cách sử dụng khóa AWS API bị xâm phạm.

Khóa API AWS này được cho là có được bằng cách tải xuống một tập hợp các kho lưu trữ NPM riêng tư không xác định bằng cách sử dụng mã thông báo OAuth bị đánh cắp từ một trong hai ứng dụng OAuth bị ảnh hưởng. GitHub cho biết kể từ đó họ đã thu hồi các mã thông báo truy cập được liên kết với các ứng dụng bị ảnh hưởng.

“Tại thời điểm này, chúng tôi đánh giá rằng kẻ tấn công đã không sửa đổi bất kỳ gói nào hoặc giành quyền truy cập vào bất kỳ dữ liệu tài khoản người dùng hoặc thông tin đăng nhập nào”, công ty cho biết và cho biết thêm rằng họ vẫn đang điều tra để xác định xem kẻ tấn công đã xem hoặc tải xuống các gói riêng tư hay chưa.

Xem tiếp:   Báo cáo mới về vụ hack Okta tiết lộ toàn bộ tập LAPSUS $ Attack

GitHub cũng cho biết họ hiện đang làm việc để xác định và thông báo cho cả những người dùng và tổ chức nạn nhân bị ảnh hưởng đã biết có thể bị ảnh hưởng do sự cố này trong 72 giờ tới.

.

Related Posts

Check Also

Tin tặc ngày càng sử dụng các khung tự động hóa của trình duyệt cho các hoạt động độc hại

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một …