GitHubは、ハッカーが盗まれたOAuthアクセストークンを使用して数十の組織に侵入したと述べています – thehackernews.com
security summary
「攻撃者は、2つのサードパーティOAuthインテグレーターであるHerokuとTravis-CIに発行された盗まれたOAuthユーザートークンを悪用して、NPMを含む数十の組織からデータをダウンロードしました」GitHubのMikeHanleyはレポートで開示しました。
OAuthアクセストークンは、ユーザーのデータの特定の部分へのアクセスを承認し、実際の資格情報を共有することなく相互に通信するために、アプリやサービスでよく使用されます。
このAWSAPIキーは、影響を受ける2つのOAuthアプリケーションのいずれかから盗まれたOAuthトークンを使用して、指定されていないプライベートNPMリポジトリのセットをダウンロードすることによって取得されたと考えられます。
別の通知で、Salesforceの子会社であるHerokuは、アクセストークンの取り消しを確認し、「通知があるまで、HerokuダッシュボードからOAuthトークンを発行しない」と「GitHubリポジトリへの不正アクセスを防止する」と付け加えました。
コメント