注册    登录
创作新主题
社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
分享
问与答   闲聊   招聘   翻译   创业   分享发现   分享创造   求职   区块链   支付之战  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
关注
Py学习  »  Git

【安全圈】攻击者利用GitHub令牌窃取私人存储库数据

安全圈 • 2 年前 • 311 次点击  

关键词

数据泄露、GitHub



GitHub披露了上周的事件相关细节,黑客使用偷来的OAuth令牌,从私人仓库下载了数据。

GitHub首席安全官Mike Hanley说:"我们并不认为攻击者是通过破坏GitHub或其系统来获取这些令牌的,因为这些令牌并不是由GitHub以其原始可用的格式进行存储的,"。

OAuth(开放授权)是一个开放标准的授权框架协议,主要用于互联网上基于令牌的授权功能。它使得最终用户的账户信息能够被第三方服务所使用,如Facebook和谷歌。

Oauth并不分享凭证,而是使用授权令牌来进行身份鉴定,并且作为一个中介来批准一个应用程序与另一个应用程序之间进行互动。

攻击者窃取或使用OAuth令牌进行攻击的安全事件并不少见。

微软在2021年12月就曝出了一个Oauth的漏洞,各个应用程序之间(Portfolios、O365 Secure Score和Microsoft Trust Service)容易出现认证漏洞,使攻击者可以接管Azure账户。为了使用该漏洞进行攻击,攻击者首先会在OAuth提供者的框架中注册他们的恶意应用程序,使其URL重定向到钓鱼网站。然后,攻击者会向他们的目标发送带有OAuth授权URL的钓鱼邮件。

攻击者的行为分析

GitHub分析说,攻击者使用了窃取的OAuth令牌对GitHub API进行认证,这些令牌是分发给Heroku和Travis CI账户的。它补充说,大多数受影响的人都是在他们的GitHub账户中授权了Heroku或Travis CI的OAuth应用。网络攻击是有选择性的,攻击者克隆了感兴趣的私人存储库。

Hanley说:"这种行为模式表明,攻击者只是针对特定的组织,并且有选择性地下载私人存储库。GitHub认为这些攻击是有高度针对性的。”

GitHub表示,它正在向那些将Travis CI或Heroku OAuth应用集成到GitHub账户的客户发送最后通知。

4月12日,GitHub开始对被盗的令牌进行调查,当时GitHub安全部首次发现有人未经授权使用被窃取的AWS API密钥访问NPM(Node Package Management)生产基础设施。这些API密钥是攻击者使用被盗的OAuth令牌下载私有NPM存储库时获得的。

NPM是一个用于通过npm包注册表下载或发布节点包的工具。

发现攻击后,Travis CI、Heroku和GitHub撤销了OAuth令牌的访问权,并建议受影响的组织监测审计日志和用户账户安全日志,防止恶意攻击活动的发生。


   END  

阅读推荐

【安全圈】“劫持”域名跳转广告?判刑!

【安全圈】勒索软件不图钱?只要做三件善事就可以获取解密工具包

【安全圈】养老金提供商数据泄露,影响近5 万人




安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/135290
Reply
 
311 次点击  
登录后回复
关于   移动版
Py学习 - 专注于Python技术发展的社区(原Django社区)
沪ICP备11025650号