偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

GitHub透露:攻擊者利用偷來的OAuth令牌入侵了幾十個組織

安全 數(shù)據(jù)安全
日前,GitHub透露,一名攻擊者正在使用偷來的OAuth用戶令牌(原本發(fā)放給Heroku和Travis-CI),從私人倉庫下載數(shù)據(jù)。

GitHub今天透露,一名攻擊者正在使用偷來的OAuth用戶令牌(原本發(fā)放給Heroku和Travis-CI),從私人倉庫下載數(shù)據(jù)。自2022年4月12日首次發(fā)現(xiàn)這一活動以來,威脅者已經(jīng)從幾十個使用Heroku和Travis-CI維護的OAuth應用程序(包括npm)的受害組織中訪問并竊取數(shù)據(jù)。

"這些集成商維護的應用程序被GitHub用戶使用,包括GitHub本身,"GitHub的首席安全官(CSO)Mike Hanley今天透露。"我們不相信攻擊者是通過破壞GitHub或其系統(tǒng)來獲得這些令牌的,因為GitHub沒有以原始的可用格式存儲這些令牌。我們對威脅行為者的其他行為的分析表明,行為者可能正在挖掘被盜的OAuth令牌所能訪問的下載的私有倉庫內(nèi)容,以尋找可用于滲透其他基礎設施的秘密。"

根據(jù)Hanley的說法,受影響的OAuth應用程序的列表包括:

  • Heroku Dashboard(ID:145909)
  • Heroku Dashboard (ID: 628778)
  • Heroku Dashboard - Preview (ID: 313468)
  • Heroku Dashboard - Classic (ID: 363831)
  • Travis CI (ID: 9216)

GitHub安全部門在4月12日發(fā)現(xiàn)了對GitHub的npm生產(chǎn)基礎設施的未經(jīng)授權的訪問,因為攻擊者使用了一個被泄露的AWS API密鑰。攻擊者很可能是在使用偷來的OAuth令牌下載了多個私有npm倉庫后獲得了該API密鑰。

"在4月13日晚上發(fā)現(xiàn)非GitHub或npm存儲的第三方OAuth令牌被更廣泛地竊取后,我們立即采取行動,通過撤銷與GitHub和npm內(nèi)部使用這些受損應用程序有關的令牌來保護GitHub和npm,"Hanley補充說。對npm組織的影響包括未經(jīng)授權訪問GitHub.com的私有存儲庫和"潛在訪問"AWS S3存儲上的npm包。

GitHub的私人存儲庫未受影響

雖然攻擊者能夠從被攻擊的存儲庫中竊取數(shù)據(jù),但GitHub認為,在這次事件中,沒有一個軟件包被修改,也沒有用戶賬戶數(shù)據(jù)或憑證被訪問。

Hanley說:"npm使用與GitHub.com完全不同的基礎設施;GitHub在這次原始攻擊中沒有受到影響。雖然調(diào)查仍在繼續(xù),但我們沒有發(fā)現(xiàn)任何證據(jù)表明其他GitHub擁有的私有倉庫被攻擊者使用竊取的第三方OAuth令牌克隆。"

GitHub正在努力通知所有受影響的用戶和組織,因為他們被確認了更多信息。

作為GitHub的成員,您應該應該審查您和您的組織的審計日志和用戶賬戶的安全日志,看看是否有異常的、潛在的惡意活動。

您可以在周五發(fā)布的安全警報中找到更多關于GitHub如何應對以保護其用戶以及客戶和組織需要知道的信息。

責任編輯:未麗燕 來源: cnBeta.COM
相關推薦

2022-04-18 11:24:39

網(wǎng)絡攻擊GitHub數(shù)據(jù)泄露

2022-06-01 11:52:57

GitHub漏洞

2021-09-08 18:23:34

漏洞攻擊Confluence

2020-07-06 11:25:10

設計師圖像列表布局

2021-03-31 10:36:33

Python面試題開發(fā)

2011-08-30 09:39:10

2024-08-19 12:17:07

2021-04-05 17:55:16

GitHub惡意軟件加密貨幣

2016-01-05 15:54:32

2021-11-04 05:48:43

SSL加密攻擊勒索軟件

2021-05-25 13:52:46

設計師作品面試

2022-03-05 12:00:11

網(wǎng)絡釣魚網(wǎng)絡攻擊

2022-08-02 08:22:48

攻擊組織MBDAAdrastea

2024-01-22 04:15:00

Vue3組件開發(fā)

2014-08-20 09:44:57

2021-08-21 15:11:31

微信內(nèi)存功能

2020-12-30 09:27:55

漏洞DDoS攻擊網(wǎng)絡攻擊

2011-05-16 09:19:51

2024-09-25 08:09:22

Java新增特性版本發(fā)布

2023-04-21 19:01:55

點贊
收藏

51CTO技術棧公眾號