Repositorios de GitHub comprometidos por tokens OAuth robados

hace 2 años

Heroku, afiliado de GitHub y Salesforce, advierte contra el robo de datos en repositorios de códigos privados. Esto sigue al descubrimiento de tokens OAuth robados.

A fines de la semana pasada, Heroku, un proveedor de PaaS propiedad de Salesforce, y GitHub emitieron advertencias sobre el posible uso de tokens de usuario OAuth comprometidos para descargar datos confidenciales de empresas que utilizan PaaS y el servicio de prueba e integración continua de Travis CI. Según la publicación de blog publicada por el repositorio de código, hay pocas posibilidades de que Github se haya visto comprometido, ya que GitHub no almacena los tokens de OAuth en cuestión en formatos utilizables. Por otro lado, parece más probable que hayan sido atrapados en las aplicaciones de Heroku y Travis CI que utilizan el marco OAuth para la autenticación. El viernes, GitHub dijo que cinco aplicaciones OAuth específicas se vieron afectadas: cuatro versiones de Heroku Dashboard y Travis CI (ID 145909, 628778, 313468, 363831 y 9261).

Salesforce dijo que al ser notificado por GitHub el miércoles pasado, deshabilitó los tokens de OAuth comprometidos y la cuenta de la que provenían. "Según la información compartida con nosotros por GitHub, estamos investigando cómo los piratas informáticos obtuvieron acceso a los tokens OAuth de los clientes", afirma la publicación del blog de Heroku. "Los tokens comprometidos podrían dar acceso a los ciberdelincuentes a los repositorios de GitHub de los clientes, pero no a sus cuentas de Heroku", dijo el proveedor de PaaS.

Verifique si hay actividad anormal y desconecte aplicaciones

Heroku instó a los usuarios de los productos afectados a revisar de inmediato sus registros de GitHub para ver si se robaron datos y a contactar al equipo de seguridad de Salesforce si detectan actividad sospechosa. Además, hasta que se resuelva el problema, el editor recomienda desconectar las aplicaciones relacionadas con Heroku de los repositorios de GitHub y revocar o renovar las credenciales expuestas. Según la información más reciente publicada por Heroku el domingo, Salesforce aún no ha completado la revocación de todos los tokens de OAuth, pero ese trabajo está en curso. Según Salesforce, los repositorios de GitHub no se verán afectados, pero esta revocación significa que la implementación de aplicaciones recientes de GitHub en el panel de Heroku no funcionará hasta que se puedan emitir nuevos tokens.

Según la investigación de GitHub, no se accedió a ningún dato de la cuenta de usuario ni a las credenciales durante el ataque. El repositorio dijo que comenzó a notificar a los clientes afectados por el ataque y recomienda, al igual que Salesforce, una revisión inmediata de todos los registros de auditoría y aplicaciones OAuth. “Nuestro análisis de otros comportamientos de actores de amenazas sugiere que los actores pueden explotar los contenidos del repositorio privado cargado, al que tenía acceso el token OAuth robado, para encontrar secretos que podrían usarse para ingresar a otra infraestructura”, dijo también GitHub.

Si quieres conocer otros artículos parecidos a Repositorios de GitHub comprometidos por tokens OAuth robados puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir