近日，GitHub 安全團隊透露稱：有證據表明，攻擊者濫用了發給 Heroku 和 Travis CI 的 OAuth 用户令牌（這些被濫用的代幣是發給兩個第三方 OAuth 集成商的），從組織帳户下載數據，從而破壞了 GitHub 帳户。

這一信息是由 GitHub 安全團隊於 2022 年 4 月 12 日開始調查後披露的。

上週五，GitHub 正式透露稱：一名身份不明的“黑客”利用竊取的 OAuth 用户代幣（發給 Heroku 和 Travis CI 的）非法下載數十家公司組織的私人數據。

GitHub 首席安全官 Mike Hanley 表示，受影響的組織包括 NPM，GitHub 用户和 GitHub 本身使用目標集成商維護的應用程序。

GitHub 並未受到威脅

Mike Hanley 聲稱，攻擊者並非通過泄露 GitHub 來獲得這些代幣的。

這些集成商（即 Heroku 和 Travis CI）維護的應用程序由 GitHub 用户使用（包括 GitHub 本身）。但實際的 GitHub 系統沒有受到影響，因為 GitHub 沒有以原始格式存儲這些令牌。

Mike 表示：“我們不相信攻擊者能通過 GitHub 或其系統的妥協獲得這些令牌，因為 GitHub 沒有以原始的、可用的格式存儲這些令牌。”

Mike 在他的博客文章中補充道：“我們對攻擊者其他行為的分析表明，這些參與者可能正在挖掘下載的私有存儲庫內容，竊取的 OAuth 令牌可以訪問這些內容，以獲取可用於轉向其他基礎設施的機密。”

什麼是 OAuth 訪問令牌？

OAuth 是不同服務和應用程序使用的訪問令牌，用於授權訪問用户數據，並在不共享憑據的情況下相互通信。這是將授權從一個單一的 sign-on/SSO 服務傳遞到另一個應用程序的標準方法。截至 2022 年 4 月 15 日，受影響的 OAuth 應用程序列表包括：

Travis CI (ID: 9216)
Heroku Dashboard (ID: 145909)
Heroku Dashboard (ID: 628778)
Heroku Dashboard – Preview (ID: 313468)
Heroku Dashboard – Classic (ID: 363831), and
Source: GitHub

補救措施

針對此次攻擊事件，GitHub 宣佈稱：通過泄露的 AWS API 密鑰對其 NPM 生產生態系統進行未經授權的訪問後發現了此次攻擊活動。

據推測，該 AWS API密鑰是通過使用從兩個受影響的 OAuth 應用程序之一竊取的 OAuth 令牌下載一組未指明的專用 NPM 存儲庫獲得的。GitHub 表示，它已經撤銷了與受影響應用相關的訪問令牌。

GitHub 安全團隊進一步指出，沒有跡象表明攻擊者修改了任何軟件包或獲得了對任何用户憑據或用户帳户數據的訪問權。

Mike 強調稱：“攻擊者沒有修改任何軟件包，也沒有訪問任何用户帳户數據或憑據。我們仍在努力瞭解攻擊者是否查看或下載了私人軟件包。 npm 使用與 GitHub 完全獨立的基礎設施”。

截止目前，GitHub 正在調查攻擊者是否僅僅查看或下載了私人軟件包。此外，該公司表示，將在未來 72 小時內通知所有受影響的受害者用户/組織。

所以，如果你也通過分析發現了自己是已知受影響的受害者用户和組織之一，那麼你將在接下來的 72 小時內收到 GitHub 發出的通知電子郵件，其中包含更多詳細信息和接下來要進行的步驟。

當然，如果你沒有收到任何電子郵件，那就不用擔心了，因為你不受此數據泄露的影響。