Github informe les victimes dont les données privées ont été volées à l’aide de jetons OAuth


GitHub a noté lundi qu’il avait notifié toutes les victimes d’une campagne d’attaque, qui impliquait une partie non autorisée téléchargeant le contenu d’un référentiel privé en profitant de jetons d’utilisateur OAuth tiers gérés par Heroku et Travis CI.

« Les clients doivent également continuer à surveiller Heroku et Travis CI pour obtenir des mises à jour sur leurs propres enquêtes sur les applications OAuth concernées », a déclaré la société. mentionné dans un article mis à jour.

L’incident a été révélé à l’origine le 12 avril lorsque GitHub a découvert des signes indiquant qu’un acteur malveillant avait exploité les jetons d’utilisateur OAuth volés délivrés à Heroku et Travis-CI pour télécharger des données de dizaines d’organisations, dont NPM.

La cyber-sécurité

La plate-forme appartenant à Microsoft a également déclaré qu’elle alerterait rapidement les clients si l’enquête en cours identifiait d’autres victimes. De plus, il a averti que l’adversaire pourrait également creuser dans les référentiels pour trouver des secrets qui pourraient être utilisés dans d’autres attaques.

Heroku, qui a pris en charge l’intégration de GitHub à la suite de l’incident, conseillé que les utilisateurs ont la possibilité d’intégrer leurs déploiements d’applications avec Git ou d’autres fournisseurs de contrôle de version tels que GitLab ou Bitbucket.

Prestataire de services d’intégration continue hébergé Travis CI, dans un consultatif publié lundi, a déclaré qu’il avait « révoqué toutes les clés d’autorisation et tous les jetons empêchant tout accès ultérieur à nos systèmes ».

La cyber-sécurité

Déclarant qu’aucune donnée client n’a été exposée, la société a reconnu que les attaquants avaient violé un service Heroku et accédé à la clé OAuth d’une application privée utilisée pour intégrer les applications Heroku et Travis CI.

Mais Travis CI a répété qu’il n’avait trouvé aucune preuve d’intrusion dans un référentiel client privé ou que les acteurs de la menace avaient obtenu un accès injustifié au code source.

« Compte tenu des données dont nous disposions et par prudence, Travis CI a révoqué et réédité toutes les clés et tous les jetons d’authentification des clients privés intégrant Travis CI à GitHub pour s’assurer qu’aucune donnée client n’est compromise », a déclaré la société.



ttn-fr-57