GitHub披露了上周的事件相关细节,黑客使用偷来的OAuth令牌,从私人仓库下载了数据。攻击者利用OAuth令牌窃取私人存储库数据。
GitHub首席安全官Mike Hanley说:"我们并不认为攻击者是通过破坏GitHub或其系统来获取这些令牌的,因为这些令牌并不是由GitHub以其原始可用的格式进行存储的,"。
OAuth(开放授权)是一个开放标准的授权框架协议,主要用于互联网上基于令牌的授权功能。它使得最终用户的账户信息能够被第三方服务所使用,如Facebook和谷歌。
Oauth并不分享凭证,而是使用授权令牌来进行身份鉴定,并且作为一个中介来批准一个应用程序与另一个应用程序之间进行互动。
攻击者窃取或使用OAuth令牌进行攻击的安全事件并不少见。
微软在2021年12月就曝出了一个Oauth的漏洞,各个应用程序之间(Portfolios、O365 Secure Score和Microsoft Trust Service)容易出现认证漏洞,使攻击者可以接管Azure账户。为了使用该漏洞进行攻击,攻击者首先会在OAuth提供者的框架中注册他们的恶意应用程序,使其URL重定向到钓鱼网站。然后,攻击者会向他们的目标发送带有OAuth授权URL的钓鱼邮件。
GitHub分析说,攻击者使用了窃取的OAuth令牌对GitHub API进行认证,这些令牌是分发给Heroku和Travis CI账户的。它补充说,大多数受影响的人都是在他们的GitHub账户中授权了Heroku或Travis CI的OAuth应用。网络攻击是有选择性的,攻击者克隆了感兴趣的私人存储库。
Hanley说:"这种行为模式表明,攻击者只是针对特定的组织,并且有选择性地下载私人存储库。GitHub认为这些攻击是有高度针对性的。”
GitHub表示,它正在向那些将Travis CI或Heroku OAuth应用集成到GitHub账户的客户发送最后通知。
4月12日,GitHub开始对被盗的令牌进行调查,当时GitHub安全部首次发现有人未经授权使用被窃取的AWS API密钥访问NPM(Node Package Management)生产基础设施。这些API密钥是攻击者使用被盗的OAuth令牌下载私有NPM存储库时获得的。
NPM是一个用于通过npm包注册表下载或发布节点包的工具。
发现攻击后,Travis CI、Heroku和GitHub撤销了OAuth令牌的访问权,并建议受影响的组织监测审计日志和用户账户安全日志,防止恶意攻击活动的发生。
【本文翻译自:https://threatpost.com/github-repos-stolen-oauth-tokens/179427/ 来源: 嘶吼网】
对于外发给客户(第三方)的文件,可控制对方的打开时间和次数等限制!同时可设置对员工电脑文件自动备份,防止恶意删除造成企业数据的遗失!从源头防控企业数据安全!
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...