駭客用盜來的OAuth權杖存取GitHub的私有儲存庫 - HiNet生活誌

GitHub安全長Mike Hanley說明，GitHub Security是在4月12日發現，有未經授權的駭客利用一個被危害的AWS API金鑰存取其npm生產基礎設施，分析後相信駭 ... ｜會員中心｜HiNet首頁 首頁 即時 影音 娛樂 運動 生活 財經 社會 科技 國際 健康 旅遊 雜誌 專題 氣象 科技Top10 VR Podcast 親愛的網友您好： HiNet提供您豐富精采的網路服務，邀請您一起體驗便利生活! GO 首頁> 科技 駭客用盜來的OAuth權杖存取GitHub的私有儲存庫 iThome 2022/04/1811:04(23天前) ，駭客濫用了授予Heroku及Travis-CI的OAuth使用者權杖，以於GitHub存取及下載屬於數十個組織的資料，包括npm在內。

[廣告]請繼續往下閱讀 GitHub安全長MikeHanley說明，GitHubSecurity是在4月12日發現，有未經授權的駭客利用一個被危害的AWSAPI金鑰存取其npm生產基礎設施，分析後相信駭客先是使用盜來的OAuth權杖下載了一組私有的npm儲存庫，再於私有的儲存庫中找到該API金鑰。

而遭盜用的OAuth權杖則是來自Heroku與Travis-CI其中一家業者。

Hanley指出，他們並不認為駭客是藉由危害GitHub來取得這些權杖，因為有問題的權杖並未以原始、可用的形式存放在GitHub上，相信憑證是自Heroku與Travis-CI所維護的OAuth應用程式外洩，並被用來下載數十個使用相關應用程式的組織存放於GitHub上的私有儲存庫。

目前已知被影響的OAuth應用程式涵蓋HerokuDashboard（ID:145909）、HerokuDashboard（ID:628778）、HerokuDashboard–Preview（ID:313468）、HerokuDashboard–Classic（ID:363831）與TravisCI（ID:9216）。

此外，根據GitHub的分析，當駭客以外洩的OAuth權杖存取私有儲存庫之後，還會檢查這些私有儲存庫之中是否含有可用來存取其它基礎設施的憑證。

Hanley表示，駭客也許不僅存取了GitHub上npm的私有儲存庫，可能也存取了AWSS3上的npm套件，但駭客應該未變更任何套件，也未取得任何使用者帳號資料與憑證。

GitHub仍在調查駭客檢視或下載了哪些私有套件，由於npm與GitHub使用不同的基礎設施，在此一攻擊事件中，GitHub並未受到影響。

在確認問題的根源後，GitHub於13日便撤銷了內部所使用的、來自上述OAuth應用的所有權杖，以保護GitHub與npm。

及Travis-CI也在13日收到GitHub的通知。

而Heroku遭駭的時間則更早。

根據Salesforce的說明，駭客是在4月9日便存取了Heroku位於GitHub的私有儲存庫，還下載了原始碼，原因則為OAuth權杖遭到危害，在收到GitHub的通知後，Salesforce即立刻關閉了相關的OAuth權杖與GitHub帳號，隨後亦撤銷整合GitHub、來自HerokuDashboard的所有OAuth權杖。

此外，Salesforce強調，被危害的OAuth權杖僅允許駭客存取Heroku客戶的GitHub儲存庫，而非Heroku帳號。

GitHub預計於72小時內通知所有受到此一事件影響的使用者及組織，建議用戶應定期查看已授權或被授權存取該組織的OAuth應用，並刪除不再需要的應用，也應檢查組織的稽核紀錄與用戶帳號的安全紀錄，以確保沒有任何異常活動。

不過，迄今Salesforce或Travis-CI並未公布相關權杖是如何外洩的。

FB留言 思科修補可繞過身分認證的無線網路控制器韌體漏洞特斯拉響應環保！電動車將不附旅行用充電座 時尚、親子、財經雜誌免費看免費影音線上看 延伸閱讀 即時科技 媒體 全部新聞 中央社 聯合新聞網 軍聞社 優活健康網 卡優新聞網 中華電信 廣編特稿 教育廣播電台 財訊快報 旅遊經 NewTalk 愛爾達 公共電視 環資中心 台灣新生報 欣傳媒 NOWnews 華人健康網 健康醫療網 客家電視台 Wow!NEWS 好房News 台灣好新聞 中央社訊息服務 住展房屋網 設計家 網路溫度計 iThome 商業周刊 美通社 勁報 CARLINK鏈車網 草根影響力新視野 健談 好醫師新聞網 車訊網 理財周刊影音 民眾網 匯流新聞網 台灣英文新聞 NOW健康 風向新聞 背包客棧 華映娛樂 ZEEK玩家誌 趣吧 慈善新聞網 Heho健康 大媒體 KingNet國家網路醫藥 每日健康 媒體拓展 早安健康 木棉花 三人紀實 東森新聞 台灣旅行趣 常春月刊 桃園電子報 今健康 引新聞 DECO-TV HotelsCombined 新頭條 AsiaYo 面試趣 News586 焦點時報 新星聞 台灣達人秀 今傳媒 波新聞 旅奇傳媒 看見泰國 極致假期 台灣好報 動誌 三采文化 GIRLSTALK 報新聞 幸福空間 爽爆新聞網 GlobeNewswire 觀傳媒 鏡週刊 就是愛寵物 eNews新聞網 潮健康 樂聯網 照護線上 拜登宣布與網路供應商合作！減少低收入家庭成本NewTalk 54分鐘前 美、英、歐盟同時發出聲明！指責俄羅斯惡意攻擊衛星網路NewTalk 2小時前 英雄聯盟季中賽》首日戰況爆冷門PSG惜吞首敗NewTalk 2小時前 中華電信4月份營業收入176.0億元每股盈餘0.40元中華電信 3小時前 大新竹地區擴產用電需求攀升台電新竹區處設置施工班提升穩定供勁報 3小時前 《特戰英豪》第二階段挑戰賽開戰！台港賽區再度力拼大師賽資格NewTalk 3小時前 折疊式iPhone要來了？蘋果正研發無偏光片OLED面板NewTalk 3小時前 高雄在地截切彩虹水果深耕學童營養午餐吃出免疫力台灣好報 4小時前 特斯拉緊急召回13萬輛車！CPU過熱導致螢幕故障NewTalk 5小時前 Meta首家實體店矽谷登場吸引人潮成觀光景點中央社 5小時前 川普可以回「推特」了！馬斯克收購後將撤銷禁令恢復帳號NewTalk 6小時前 汛期到病害防治不可少台灣好報 6小時前 111年小型漁機具補助海洋局提醒漁民把握申請機會台灣好報 6小時前 雅特力AT32WB415系列藍牙BLE5.0MCU，開創美通社 6小時前 俄羅斯電視系統被駭客入侵！節目表中出現反戰標語NewTalk 7小時前 Netflix用戶嚴重流失！預計年底推出低價「有廣告」訂閲模NewTalk 7小時前 災難現場馳援英特爾和碩打造公事包5G基地台中央社 7小時前 南瓜產季期間限定淡水秘境賞美景嚐健康台灣好報 7小時前 iPod時代畫下休止符，蘋果將停售iPodTouchiThome 8小時前 英特爾「IntelVision」登場展示新款技術解決現在勁報 8小時前 1 2 3 4 5 6 7 8 9 10 降雨： 氣溫：℃ 明日起密切接觸者改為同住親友、 手機準備好！魔獸動作策略遊戲《 穩定幣UST與美元脫鉤，市值只 特斯拉上海廠再次停工！供應鏈出 荔枝椿象蠢蠢欲動員林市公所施 Netflix用戶嚴重流失！預 南科營收創歷史新高打造完善高 折疊式iPhone要來了？蘋果 IBM公布最新實用量子發展路 淺談雜湊碼設計 熱門專題 中油：9日起汽、柴油降0.1元 台股震盪證交稅連4黑少近百億 CBA雙雄回歸盼組最強中華隊 兵役延長與否？跨世代論壇找解答 雜誌 連結過去與未來的朝聖之路不丹古老步道 毛孩也想和你一起遠足郊遊嗎？歐洲哪個國家最歡迎寵物造訪？這篇文章帶大家發掘與犬貓同遊歐洲的多種方式和獨特享受，也給牠們伴你遠行放風、結交新汪汪喵喵朋友的美好回憶... PO新聞 合作媒體 中央社 聯合新聞網 軍聞社 優活健康網 卡優新聞網 中華電信 廣編特稿 教育廣播電台 財訊快報 旅遊經 NewTalk 愛爾達 公共電視 環資中心 台灣新生報 欣傳媒 NOWnews 華人健康網 健康醫療網 客家電視台 Wow!NEWS 好房News 台灣好新聞 中央社訊息服務 住展房屋網 設計家 網路溫度計 iThome 商業周刊 美通社 勁報 CARLINK鏈車網 草根影響力新視野 健談 好醫師新聞網 車訊網 理財周刊影音 民眾網 匯流新聞網 台灣英文新聞 NOW健康 風向新聞 背包客棧 華映娛樂 ZEEK玩家誌 趣吧 慈善新聞網 Heho健康 大媒體 KingNet國家網路醫藥 每日健康 媒體拓展 早安健康 木棉花 三人紀實 東森新聞 台灣旅行趣 常春月刊 桃園電子報 今健康 引新聞 DECO-TV HotelsCombined 新頭條 AsiaYo 面試趣 News586 焦點時報 新星聞 台灣達人秀 今傳媒 波新聞 旅奇傳媒 看見泰國 極致假期 台灣好報 動誌 三采文化 GIRLSTALK 報新聞 幸福空間 爽爆新聞網 GlobeNewswire 觀傳媒 鏡週刊 就是愛寵物 eNews新聞網 潮健康 樂聯網 照護線上 理財周刊 財訊 萬寶周刊 先探週刊 財訊快報 Money錢 媽媽寶寶雜誌 bobo小天才養成誌 ShoppingDesign 時尚家居 DECO居家中文版 遠見雜誌 30雜誌 媽咪寶貝 嬰兒與母親 TaipeiWalker 能力雜誌 經理人月刊 漂亮家居 哈佛商業評論 好房網HouseFun OPENDESIGN 育兒生活 住展雜誌 Living住宅美學 未來Family 職業棒球 小花平台 時尚漫旅 柿子文化 全球中央 獨家報導 張雄藝術網 目川文化 智趣王 任意充藝術 104掌聲 豐年 鄉間小路