GitHub-Sicherheitslücke: OAuth-Token von Heroku und Travis-CI kompromittiert

Das Sicherheitsteam von GitHub ermittelt seit Dienstag gegen unautorisierte Zugriffe auf die npm-Produktionsinfrastruktur mittels verdächtiger AWS API-Schlüssel, wie die Versionsverwaltungsplattform gestern bekannt gab. Laut einer ersten Analyse gelangten die Angreifer mittels gestohlener OAuth-Token an die API-Schlüssel, die in einem privaten Directory liegen. Bei den gestohlenen Token handelt es sich um Nutzer-Token, die den Drittanbietern Travis-CI und Heroku zugewiesen wurden. Da die Token nicht in nutzbarer Form im System von GitHub vorliegen, wird eine Beeinträchtigung der Infrastruktur von GitHub bisher ausgeschlossen. Heroku und Travis-CI wurden über die Vorfälle informiert.

Akute Gefahr

GitHub veröffentlichte die Informationen in dem Glauben, dass die Angriffe derzeit weiter ausgeführt werden und Kunden der Plattform ihre Daten schützen müssen. Die bekannten, betroffenen OAuth-Anwendungen sind nach aktuellem Stand:

• Heroku Dashboard (ID: 145909)
• Heroku Dashboard (ID: 628778)
• Heroku Dashboard – Preview (ID: 313468)
• Heroku Dashboard – Classic (ID: 363831)
• Travis CI (ID: 9216)

Es besteht eine Gefahr für alle Nutzer von Travis-CI und Heroku. Die Angreifer suchen über die gestohlenen Daten mutmaßlich nach weiteren Zugangsmöglichkeiten in andere Repositorien und Infrastrukturen. GitHubs Sicherheitsteam vermutet, dass im Fall von npm ein Zugriff und Download von privaten Repositorien auf GitHub geschehen ist und möglicherweise auch npm-Packages in AWS S3 Storage betroffen sein könnten.

In der Bekanntmachung schreibt GitHub, zum aktuellen Zeitpunkt sei nicht davon auszugehen, dass die Angreifer Pakete verändert oder Zugriff auf Nutzerdaten und Anmeldeoptionen erlangen konnte. Es wird noch ermittelt, ob private Pakete eingesehen oder heruntergeladen wurden. Obwohl die Untersuchungen noch andauern, gäbe es keine Hinweise darauf, dass andere private Repositorien von GitHub durch den Angreifer mit gestohlenen OAuth-Tokens von Drittanbietern geklont wurden.

Betroffene sind informiert, soweit bekannt

Zurzeit werde auch daran gearbeitet, alle Betroffenen zu identifizieren und zu benachrichtigen. Diese Kunden bekommen von GitHub eine E-Mail mit weiteren Details. Die Benachrichtigung enthält ebenfalls Vorschläge zu den nächsten Schritten, die in den kommenden 72 Stunden helfen sollen, die Bedrohung zu beantworten. Auch noch nicht benachrichtigte Unternehmen, die Travis-CI und Heroku nutzen, sollten in den nächsten Tagen ihre OAuth-Anwendungen und einen möglichen Missbrauch prüfen.

GitHub findet sich dieser Tage vermehrt in Aufruhr. Erst am Donnerstag kam es zu einem Abrechnungsfehler, der Kunden Rechnungen in sechsstelliger Höhe präsentierte. Am selben Tag wurde auch eine Sicherheitslücke in lokalen Git-Installationen von Windows- und Multi-User-Systemen geschlossen. Weitere Informationen und aktuelle Updates zum Problem mit den OAuth-Token finden sich im Blog von GitHub.

(pst)