Github, bir tehdit oyuncusu düzinelerce kuruluşa ait özel depolara eriştiğinde ve çaldığında bu ayın güvenlik ihlalinin bir zaman çizelgesini paylaştı.
Saldırgan, Heroku ve Travis-Ci'ye verilen çalıntı OAuth Uygulama Tokenlerini Github.com'u ihlal etmek için yetkili Heroku veya Travis CI OAuth uygulama entegrasyonlarıyla müşteri hesaplarını kullandı.
Github'ın baş güvenlik görevlisi Mike Hanley, şirketin olayının ilk kez 12 Nisan 2022'de keşfedilmesinden bu yana sistemlerinin ihlal edildiğine dair kanıt bulamadığını söyledi.
Github hala etkilenen tüm kullanıcıları ve kuruluşları uyarmak üzerinde çalışıyor, şirket bugün itibaren etkilenen Github.com kullanıcılarına son bildirimleri gönderme sürecinde.
Saldırganın davranışının bir analizi, tehlikeye atılan GitHub hesaplarına erişimi olsa da, çalınan OAuth uygulaması jetonları kullanılarak aşağıdaki faaliyetlerin Github.com'da gerçekleştirildiğini göstermektedir:
Github, "Bu davranış modeli, saldırganın yalnızca özel depoları listelemeyi ve indirmeyi seçmek için hedefleyecek hesapları belirlemek için kuruluşları listelediğini gösteriyor." Dedi.
"Github, bu saldırıların Mevcut bilgilere ve Travis CI ve Heroku'ya verilen tehlikeye atılan OAuth jetonlarını kullanarak saldırgan davranışına ilişkin analizimize dayanarak oldukça hedeflendiğine inanıyor."
Github, kötü niyetli aktörün GitHub'ın NPM üretim altyapısına eriştiği saldırıyı keşfettikten üç gün sonra 15 Nisan akşamı ihlali açıkladı.
Saldırının ilk aşamasında, tehdit oyuncusu, çalınan OAuth kullanıcı tokenlerini kullanarak birden fazla özel NPM deposunun indirildikten sonra elde edilen tehlikeye atılmış bir AWS API anahtarı kullandı.
GitHub, Travis CI ve Heroku, saldırıyı keşfettikten sonra daha fazla erişimi engellemek için tüm OAuth jetonlarını iptal ederken, etkilenen kuruluşların bu olaya bağlı potansiyel olarak kötü niyetli etkinlikler için denetim günlüklerini ve kullanıcı hesabı güvenlik günlüklerini izlemeye devam etmeleri tavsiye edilir.
Github, veri açığa çıkma veya kötü niyetli etkinlik kanıtı için günlükleri araştırmalarına yardımcı olmak için potansiyel olarak etkilenen müşterilerle aşağıdaki rehberliği paylaştı:
Github'ın müşterilerini korumak için nasıl yanıt verdiği ve kuruluşların ilk güvenlik uyarısında ne bilmesi gerektiği hakkında daha fazla bilgi bulabilirsiniz.
GitHub, OAuth Jetons kullanarak çalınan özel depoların sahiplerini bildirir
Github: Saldırgan, çalıntı OAuth Jetonlarını kullanarak düzinelerce orgunu ihlal etti
T-Mobile, Lapsus $ hacker'ları ihlal eden dahili sistemleri onaylar
OKTA: Lapsus $ Breach sadece 25 dakika sürdü, 2 müşteriye çarptı
SEC, kamu şirketlerinin dört gün içinde ihlalleri bildirmesini istiyor
Kaynak: Bleeping Computer