Haitallinen toimija on varastanut suuren määrän tietoja monilta organisaatioilta OAuth-käyttäjätunnuksilla. GitHub paljasti tämän tapauksen ja paljasti, että käyttäjätunnukset myönnettiin Herokulle & Travisille. Tämä tarkoittaa, että hakkeri varasti tunnukset ja käytti niitä päästäkseen yksityisiin tietovarastoihin.
Githubin CSO:n mukaan, Mike Hanley, sekä GitHub että sen käyttäjät käyttävät tätä sovellusta. GitHub ei kuitenkaan tallenna niitä muodossa, jota hyökkääjä voisi hyödyntää. Tämä tarkoittaa, että he eivät voineet käyttää Github-järjestelmien tunnuksia.
Valitettavasti ennen kuin kukaan ehti huomata, pahantahtoiset toimijat olivat jo keränneet suuren määrän dataa eri organisaatioilta. Mutta Hanley uskoo, että tämä on ensimmäinen askel tappavampaan hyökkäykseen. Lisäksi analyysi viittaa siihen, että hyökkääjät saattavat päästä johonkin yksityisen tietovaraston sisältöön hyökätäkseen muita infrastruktuureja vastaan.
Vaikuttavat sovellukset ja vaikutukset
Githubin CSO:n mukaan varastetut sovellukset olivat Heroku Dashboard, jonka tunnus on: 145909, ja Heroku Dashboards, jonka tunnus on: 628778. He varastivat myös Heroku Dashboards-Preview ID: 313468, Heroku Dashboards-Classic ID: 313468, Heroku Dashboards-Classic ID: 3638931, ja Travis8931.
Github havaitsi hyökkäyksen 12. huhtikuuta. Ensin hyökkääjä pääsi npm-tuotantoinfrastruktuuriinsa haitallisella AWS API -avaimella. Sitten 13. huhtikuuta GitHub havaitsi, että hyökkääjät olivat varastaneet kolmannen osapuolen tunnuksia, jotka eivät olleet sen järjestelmissä tai npm:ssä. Tiimi ryhtyi välittömästi toimiin varmistaakseen, ettei kukaan käyttäisi GitHubin sovelluksia. He ilmoittivat Heroku & Travis-CI:lle tutkimaan tapauksen ja peruuttamaan kaikki tunnukset, joilla on pääsy kyseisiin sovelluksiin. Heidän tulee myös varoittaa käyttäjiään tapauksesta välittömästi. Näyttelijät olivat kuitenkin jo käyttäneet joitain yksityisiä tietovarastoja ja ehkä joitain AWS S3:lle tallennettuja npm-paketteja.
Mutta itse Githubin osalta Hanley on paljastanut, että näyttelijät eivät päässeet käsiksi sen sisältöön. He eivät myöskään voineet muokata tai päästä käsiksi mihinkään käyttäjätiliin hyökkäyksissä yksityisiin tietovarastoihin. Toistaiseksi GitHub-tiimi tutkii tapausta. Mutta GitHubin omistamien yksityisten tietovarastojen lisäkompromisseista ei ole vieläkään todisteita.
GitHub suojaa käyttäjiä
GitHub jatkaa tutkintaa uhrijärjestöjen tunnistamiseksi ja heille ilmoittamiseksi. Lisäksi he lähettävät asiakkailleen ja organisaatiolleen sähköposteja, joissa on lisätietoja ja mitä tehdä kolmen päivän kuluessa.
Joten kaikkien pitäisi odottaa sähköpostia. Mutta jos joku asiakas tai organisaatio ei saanut sähköpostia tämän asetetun ajan kuluessa, se tarkoittaa, että he ovat turvassa hyökkäykseltä. Lisäksi GitHub suosittelee, että jokainen käyttäjä tarkastaa valtuutetun OAuth-sovelluksen tai sen, jolla on pääsy heidän organisaatioonsa. Kun he löytävät jotain, mikä ei enää ole hyödyllistä, heidän tulee poistaa se.
Lisäksi jokaista käyttäjää kehotetaan tarkistamaan omansakäyttäjätilin suojauslokitjaorganisaation tarkastuslokittarkistaa epänormaalit toiminnot. Github väittää myös, että jokainen sähköpostin vastaanottanut asiakas voi ottaa heihin yhteyttä sähköpostissa olevien ohjeiden suhteen.