GitHub Security Update: Den OAuth-Token-Dieben auf der Spur
Nachdem an Heroku und Travis CI ausgegebene OAuth-Token zum Zugriff auf private Repositorien genutzt wurden, berichtet GitHub nun ĂĽber den Ablauf des Angriffs.
Das Security-Team von GitHub hat bekannt gegeben, wie der Datendiebstahl aus privaten Repositorien nach der Entwendung von OAuth-Token abgelaufen ist. Mit den an Travis CI und Heroku ausgestellten Token authentifizierten sich die Angreifer gegenüber der GitHub API und sammelten die Organisationen des betroffenen Nutzers. Dann erfolgte laut GitHub das Selektieren der Ziele aufgrund ihrer Organisationen und das Auflisten aller privaten Repositorien. Im Anschluss daran klonten die Angreifer die privaten Repositorien von Interesse. Die Security-Fachleute schließen daraus, dass es sich um äußerst gezielte Angriffe gehandelt hat und nicht bei allen gescannten Accounts auch Daten entwendet wurden.
Travis CI beruhigt
Die Sicherheitslücke war aufgefallen, als in der Woche vor Ostern ein kompromittierter AWS-API-Schlüssel verwendet wurde, der durch den Download von npm-Repositorien in die Hände der Angreifer gelangte. Auf diese wurde ebenfalls mittels der an Travis CI und Heroku ausgestellten OAuth-Token zugegriffen. Heroku und Travis CI zogen die Zugangstoken nach einer Benachrichtigung durch GitHub sofort zurück. Travis CI berichtete früh nach der Bekanntgabe im eigenen Blog, dass keine Kundendaten nach außen gedrungen seien und kein fremder Zugriff mehr bestünde. Heroku ist von dem Vorfall noch immer betroffen.
Heroku in Scherben
Salesforce Cloud-Plattform Heroku ist nach aktuellem Stand noch immer nicht wieder mit GitHub verbunden. Auf der Status-Webseite empfiehlt das Team von Heroku Nutzerinnen lieber alternative Methoden zu verwenden, als auf die Wiederherstellung des Services und der Verbindung zu warten. Der einfachste Weg sei dabei ĂĽber git push heroku main
oder CI/CD-Addons. Da GitHub die Heroku-Anwender über mögliche Zugriffsversuche unterrichtet hat, bittet das Team von Heroku die Nutzer potenzielle Kompromittierungsindikatoren (Englisch: indicators of compromise, IOCs) mit Heroku zu teilen. Dadurch sollen die laufenden Ermittlungen unterstützt werden.
GitHub: eigene Systeme nicht durchbrochen
Das Team von GitHub geht, wie nach dem letzten Stand, davon aus, dass die eigene Umgebung nicht verletzt wurde. Alle involvierten Kunden sollten laut GitHub benachrichtigt sein. In der GitHub-Dokumentation können Nutzerinnen überprüfen, welche Daten über die betroffenen GitHub-API-Endpunkte /user/repos und /orgs/{org}/repos zurückgegeben worden sein könnten.
Den aktuellen Stand der Dinge lesen Nutzer im Blog von GitHub nach. Dort wird ebenfalls auf die Blogs von Heroku und Travis CI verwiesen.
(pst)