HomePtNotíciaComo os tokens OAuth roubados ajudaram a violar dezenas de organizações

Como os tokens OAuth roubados ajudaram a violar dezenas de organizações


O GitHub compartilhou uma linha do tempo da violação de segurança deste mês, quando um agente de ameaças obteve acesso e roubou repositórios privados pertencentes a dezenas de organizações.

O invasor usou tokens de aplicativos OAuth roubados emitidos para Heroku e Travis-CI para violar as contas de clientes do GitHub.com com integrações autorizadas de aplicativos Heroku ou Travis CI OAuth.

O diretor de segurança do GitHub, Mike Hanley, diz que a empresa ainda não encontrou evidências de que seus sistemas foram violados desde que o incidente foi descoberto em 12 de abril de 2022.

O GitHub ainda está trabalhando para alertar todos os usuários e organizações afetados, e a empresa está enviando notificações finais para os usuários afetados do GitHub.com a partir de hoje.

Uma análise do comportamento do invasor, ao ter acesso a contas comprometidas do Github, mostra que as seguintes atividades ocorreram no GitHub.com usando os tokens de aplicativo OAuth roubados:

  1. O invasor se autenticou na API do GitHub usando tokens OAuth roubados emitidos para Heroku e Travis CI.
  2. Para a maioria das pessoas que tiveram os aplicativos Heroku ou Travis CI OAuth afetados autorizados em suas contas do GitHub, o invasor listou todas as organizações do usuário.
  3. O invasor então escolheu seletivamente os alvos com base nas organizações listadas.
  4. O invasor listou os repositórios privados das contas de usuário de interesse.
  5. O invasor então clonou alguns desses repositórios privados.

“Esse padrão de comportamento sugere que o invasor estava apenas enumerando organizações para identificar contas para direcionar seletivamente para listar e baixar repositórios privados”, disse o GitHub.

“O GitHub acredita que esses ataques foram altamente direcionados com base nas informações disponíveis e em nossa análise do comportamento do invasor usando tokens OAuth comprometidos emitidos para Travis CI e Heroku.”

Encontrar evidências de atividade maliciosa

O GitHub divulgou a violação na tarde de 15 de abril, três dias após descobrir o ataque, quando o agente malicioso acessou a infraestrutura de produção npm do GitHub.

No estágio inicial do ataque, o agente da ameaça usou uma chave de API da AWS comprometida adquirida após o download de vários repositórios npm privados usando tokens de usuário OAuth roubados.

Embora GitHub, Travis CI e Heroku tenham revogado todos os tokens OAuth para bloquear mais acesso após descobrir o ataque, as organizações afetadas são incentivadas a continuar monitorando seus logs de auditoria e logs de segurança da conta de usuário em busca de atividades potencialmente maliciosas relacionadas a este incidente.

O GitHub compartilhou as seguintes orientações com clientes potencialmente afetados para ajudá-los a investigar os logs em busca de evidências de exfiltração de dados ou atividade maliciosa:

  • Verifique todos os seus repositórios privados em busca de segredos ou credenciais armazenados neles. Existem várias ferramentas que podem ajudar nessa tarefa, como o scan secreto do GitHub e o truffehog.
  • Revise os aplicativos OAuth que você autorizou para sua conta pessoal ou que estão autorizados a acessar sua organização e exclua tudo o que você não precisa mais.
  • Siga as diretrizes do GitHub para fortalecer a postura de segurança da sua organização do GitHub.
  • Revise a atividade da sua conta, tokens de acesso pessoal, aplicativos OAuth e chaves SSH para qualquer atividade ou alteração que possa vir do invasor.
  • Perguntas adicionais devem ser direcionadas ao suporte do GitHub.

Você pode encontrar mais informações sobre como o GitHub respondeu para proteger seus clientes e o que as organizações precisam saber no alerta de segurança inicial.

Must Read

%d bloggers like this: