GitHub上周五(4/15)警告,黑客滥用了授给Heroku及Travis-CI的OAuth用户权限,以于GitHub访问及下载属于数十个组织的资料,包括npm在内。
GitHub首席安全官Mike Hanley说明,GitHub Security是在4月12日发现,有未经授权的黑客利用一个被危害的AWS API密钥访问其npm生产基础设施,分析后相信黑客先是使用盗来的OAuth权限下载了一组私有的npm存储库,再于私有的存储库中找到该API密钥。而遭盗用的OAuth权限则是来自Heroku与Travis-CI其中一家企业。
Hanley指出,他们并不认为黑客是借由危害GitHub来取得这些权限,因为有问题的权限并未以原始、可用的形式存放在GitHub上,相信凭证是自Heroku与Travis-CI所维护的OAuth应用程序外泄,并被用来下载数十个使用相关应用程序的组织存放于GitHub上的私有存储库。
目前已知被影响的OAuth应用程序涵盖Heroku Dashboard(ID: 145909)、Heroku Dashboard(ID: 628778)、Heroku Dashboard–Preview(ID: 313468)、Heroku Dashboard–Classic(ID: 363831)与Travis CI(ID: 9216)。
此外,根据GitHub的分析,当黑客以外泄的OAuth权限访问私有存储库之后,还会检查这些私有存储库之中是否含有可用来访问其它基础设施的凭证。
Hanley表示,黑客也许不仅访问了GitHub上npm的私有存储库,可能也访问了AWS S3上的npm组件,但黑客应该未变更任何组件,也未取得任何用户账号资料与凭证。GitHub仍在调查黑客查看或下载了哪些私有组件,由于npm与GitHub使用不同的基础设施,在该攻击事件中,GitHub并未受到影响。
在确认问题的根源后,GitHub于13日便撤销了内部所使用的、来自上述OAuth应用的所有权限,以保护GitHub与npm。
Heroku母公司Salesforce及Travis-CI也在13日收到GitHub的通知。
而Heroku遭黑的时间则更早。根据Salesforce的说明,黑客是在4月9日便访问了Heroku位于GitHub的私有存储库,还下载了源码,原因则为OAuth权限遭到危害,在收到GitHub的通知后,Salesforce即立刻关闭了相关的OAuth权限与GitHub账号,随后也撤销集成GitHub、来自Heroku Dashboard的所有OAuth权限。
此外,Salesforce强调,被危害的OAuth权限仅允许黑客访问Heroku客户的GitHub存储库,而非Heroku账号。
GitHub预计于72小时内通知所有受到该事件影响的用户及组织,建议用户应定期查看已授权或被授权访问该组织的OAuth应用,并删除不再需要的应用,也应检查组织的审核记录与用户账号的安全记录,以确保没有任何异常活动。
不过,迄今Salesforce或Travis-CI并未公布相关权限是如何外泄的。