Jetons D'accès Oauth

Le service d’hébergement de référentiels basé sur le cloud GitHub a révélé vendredi avoir découvert des preuves d’un adversaire anonyme capitalisant sur des jetons d’utilisateur OAuth volés pour télécharger sans autorisation des données privées de plusieurs organisations.

« Un attaquant a abusé de jetons d’utilisateur OAuth volés délivrés à deux intégrateurs OAuth tiers, Heroku et Travis-CI, pour télécharger des données de dizaines d’organisations, y compris NPM », a déclaré Mike Hanley de GitHub. divulgué dans un rapport.

La Cyber-Sécurité

Les jetons d’accès OAuth sont souvent utilisé par des applications et des services pour autoriser l’accès à des parties spécifiques des données d’un utilisateur et communiquer entre eux sans avoir à partager les informations d’identification réelles. C’est l’une des méthodes les plus couramment utilisées pour transmettre l’autorisation à partir d’une authentification unique (authentification unique) service vers une autre application.

Au 15 avril 2022, la liste des applications OAuth concernées est la suivante :

  • Tableau de bord Heroku (ID : 145909)
  • Tableau de bord Heroku (ID : 628778)
  • Tableau de bord Heroku – Aperçu (ID : 313468)
  • Tableau de bord Heroku – Classique (ID : 363831) et
  • Travis CI (ID: 9216)

Les jetons OAuth n’auraient pas été obtenus via une violation de GitHub ou de ses systèmes, a déclaré la société, car elle ne stocke pas les jetons dans leurs formats d’origine utilisables.

Publicité

De plus, GitHub a averti que l’acteur de la menace pourrait analyser le contenu du référentiel privé téléchargé des entités victimes à l’aide de ces applications OAuth tierces pour glaner des secrets supplémentaires qui pourraient ensuite être exploités pour pivoter vers d’autres parties de leur infrastructure.

La plate-forme appartenant à Microsoft a noté qu’elle avait trouvé les premières preuves de la campagne d’attaque le 12 avril lorsqu’elle a rencontré un accès non autorisé à son environnement de production NPM à l’aide d’une clé d’API AWS compromise.

La Cyber-Sécurité

Cette clé d’API AWS aurait été obtenue en téléchargeant un ensemble de référentiels NPM privés non spécifiés à l’aide du jeton OAuth volé à partir de l’une des deux applications OAuth concernées. GitHub a déclaré avoir depuis révoqué les jetons d’accès associés aux applications concernées.

« À ce stade, nous estimons que l’attaquant n’a modifié aucun package ni obtenu l’accès à des données ou informations d’identification de compte d’utilisateur », a déclaré la société, ajoutant qu’elle enquêtait toujours pour déterminer si l’attaquant avait consulté ou téléchargé des packages privés.

GitHub a également déclaré qu’il s’efforçait actuellement d’identifier et de notifier tous les utilisateurs victimes connus et les organisations susceptibles d’être touchés par cet incident au cours des 72 prochaines heures.


Rate this post
Publicité
Article précédentSpy X Family est tout ce que nous voulions qu’il soit
Article suivantNon, Chrome OS ne supprime pas Smart Lock, il suffit de le modifier
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici