性能文章>GitHub 称黑客使用窃取的 OAuth 令牌入侵了 npm 等数十个组织>

GitHub 称黑客使用窃取的 OAuth 令牌入侵了 npm 等数十个组织原创

https://a.perfma.net/img/3110416
2年前
220201

GitHub 首席安全官 Mike Hanley 透露,攻击者正在使用被盗的 OAuth 用户令牌从私有存储库中下载数据。

 

有证据表明,攻击者滥用被盗的 OAuth 用户令牌发给两个第三方 OAuth 集成商 Heroku 和 Travis-CI,然后从包括 npm 在内的数十个组织下载数据。这些集成商维护的应用程序被 GitHub 用户使用,包括 GitHub 本身。

攻击者并非通过入侵 GitHub 或其系统获得了这些令牌,因为 GitHub 未以原始可用格式存储相关令牌。

 

应用程序和服务使用 OAuth 访问令牌以授权访问特定的用户数据并相互通信,而无需共享实际凭据。OAuth 访问令牌是用于将授权从单点登录 ( SSO ) 服务传递到另一个应用程序的最常用方法之一。

 

GitHub 安全于 4 月 12 日发现,有攻击者使用泄露的 AWS API 密钥对 GitHub 的 npm 生产基础设施进行未经授权的访问。这个 AWS API 密钥是攻击者通过使用窃取的 OAuth 令牌从一组私有 npm 仓库中获得的,但攻击者没有修改任何 GitHub 包或访问任何用户帐户数据,只下载了受影响的私有仓库代码。

 

这次 OAuth 用户令牌泄露,受影响的服务包括:Heroku Dashboard 和 Travis CI ,GitHub 已经撤销了与受影响应用程序相关的访问令牌,并以邮件通知所有已知受影响的用户和组织。

点赞收藏
堆堆

【HeapDump性能社区官方小编】各位堆友们,+微信号perfMa,可以联系上堆堆哦~

请先登录,感受更多精彩内容
快去登录吧,你将获得
  • 浏览更多精彩评论
  • 和开发者讨论交流,共同进步
1
0
https://a.perfma.net/img/3110416
堆堆

徽章

【HeapDump性能社区官方小编】各位堆友们,+微信号perfMa,可以联系上堆堆哦~