-
14/01/2021
-
19
-
81 bài viết
GitHub thông báo cho nạn nhân bị truy cập dữ liệu cá nhân bằng OAuth Token
GitHub Security đã bắt đầu một cuộc điều tra kẻ tấn công đánh cắp “OAuth user token” được cấp cho hai nhà tích hợp OAuth: Heroku và Travis CI nhằm tải dữ liệu từ nhiều tổ chức, bao gồm cả NPM.
GitHub ngăn chặn được hacker lợi dụng “OAuth user token” để tải xuống trái phép các dự án bí mật (private) của tổ chức đang được duy trì bởi Heroku và Travis CI, đồng thời khuyến nghị khách hàng tiếp tục theo dõi để cập nhật các thông tin đối với các ứng dụng OAuth bị ảnh hưởng:
GitHub, nền tảng do Microsoft sở hữu cũng cho biết sẽ cảnh báo khách hàng kịp thời nếu phát hiện bị tấn công, kèm nhận định rằng hacker cũng có thể đang khai thác vào các kho lưu trữ bí mật khác để lợi dụng những lần tiếp theo.
Heroku đã hỗ trợ việc tích hợp GitHub sau khi xảy ra vụ việc và khuyến nghị người dùng lựa chọn tích hợp triển khai ứng dụng với Git hoặc các nhà cung cấp khác như GitLab hoặc Bitbucket.
Phía Travis CI cũng không tìm thấy bằng chứng về việc xâm nhập vào kho lưu trữ khách hàng tư nhân hoặc cách mà hacker có được quyền truy cập mã nguồn, đồng thời đã thu hồi “authorization key” (khóa xác thực) và “token” để ngăn chặn quyền truy cập vào hệ thống.
GitHub ngăn chặn được hacker lợi dụng “OAuth user token” để tải xuống trái phép các dự án bí mật (private) của tổ chức đang được duy trì bởi Heroku và Travis CI, đồng thời khuyến nghị khách hàng tiếp tục theo dõi để cập nhật các thông tin đối với các ứng dụng OAuth bị ảnh hưởng:
- Heroku Dashboard (ID: 145909)
- Heroku Dashboard (ID: 628778)
- Heroku Dashboard - Preview (ID: 313468)
- Heroku Dashboard - Classic (ID: 363831)
- Travis CI (ID: 9216)
GitHub, nền tảng do Microsoft sở hữu cũng cho biết sẽ cảnh báo khách hàng kịp thời nếu phát hiện bị tấn công, kèm nhận định rằng hacker cũng có thể đang khai thác vào các kho lưu trữ bí mật khác để lợi dụng những lần tiếp theo.
Heroku đã hỗ trợ việc tích hợp GitHub sau khi xảy ra vụ việc và khuyến nghị người dùng lựa chọn tích hợp triển khai ứng dụng với Git hoặc các nhà cung cấp khác như GitLab hoặc Bitbucket.
Phía Travis CI cũng không tìm thấy bằng chứng về việc xâm nhập vào kho lưu trữ khách hàng tư nhân hoặc cách mà hacker có được quyền truy cập mã nguồn, đồng thời đã thu hồi “authorization key” (khóa xác thực) và “token” để ngăn chặn quyền truy cập vào hệ thống.
Theo: Thehackernews
Chỉnh sửa lần cuối bởi người điều hành: