GitHub-Update: gestohlene OAuth-Token – Heroku betroffen,Travis-CI-Kunden sicher

GitHub gibt an, alle vom Datenraub Betroffenen gewarnt zu haben. Travis-CI-Repositorien scheinen sicher zu sein, die Heroku-Funktionen sind stark eingeschränkt.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen

(Bild: Sundry Photography/Shutterstock.com)

Lesezeit: 2 Min.

Kurz vor Ostern informierte GitHub über einen Datendiebstahl durch kompromittierte OAuth-Token. Alle Betroffenen seien mittlerweile verständigt, teilt das Team der Plattform für Versionsverwaltung im Blog mit. GitHub versichert, dass keine eigenen Systeme betroffen sind, da der Angriff mit Drittanbieter-Token vonstattenging. Das Team geht demzufolge davon aus, dass die Angreifer die Repositorien nur ausgelesen und nicht modifiziert haben. Die betroffenen Token waren für Travis CI und Heroku ausgestellt, wobei nur Heroku-Nutzer von den Datendiebstählen betroffen zu sein scheinen.

In einem Newsupdate gibt Travis CI bekannt, dass für Kunden kein Risiko bestehe. Über die Token sei kein Zugriff auf private Repositorien möglich. Um sicherzustellen, dass keine Kundendaten betroffen sind, habe das Unternehmen alle Authentifikationsschlüssel zurückgerufen und neu ausgegeben. Der Heroku-Betreiber Salesforce hat ebenfalls alle OAuth-Token zurückgerufen. Dadurch kommt es offenbar zu Einschränkungen der Funktionen des Heroku-Dashboards, da bisher keine neuen Token ausgestellt wurden.

Da Salesforce die GitHub-Integration zwischenzeitlich vom Heroku-Dashboard getrennt hat, lassen sich folgende Funktionen zurzeit nicht ausfĂĽhren:

  • das Aktivieren und Erstellen von ĂśberprĂĽfungs-Apps
  • das Bereitstellen von ĂśberprĂĽfungs-Apps sowie einer App von GitHub
  • Heroku CI kann keine neuen Läufe erstellen oder die GitHub-Branches anzeigen
  • Heroku Button kann keine Button-Apps aus privaten Repositories erstellen
  • ChatOps kann nichts bereitstellen und keine Benachrichtigungen ĂĽber erfolgte Bereitstellungen erhalten

Die Betreiber rufen ihre Kunden dazu auf, Logs und verdächtige Aktivitäten an das Sicherheitsteam bei Salesforce zu melden. Das soll die Ermittlungen vorantreiben.

Am Karfreitag hatte GitHub bekannt gegeben, einen Vorfall zu untersuchen, bei dem Angreifer in die npm-Produktionsinfrastruktur eingebrochen seien. Der Zugriff erfolgte mit einem kompromittierten AWS-API-SchlĂĽssel, der beim Download mehrerer privater npm-Repositorien durch gestohlene OAuth-Token erbeutet worden war. Die Auswirkungen auf npm umfassten dabei den unbefugten Zugriff auf private GitHub-Repos und potenzielle Zugriffe auf npm-Pakete, die auf AWS-S3-Servern gespeichert sind. Bei GitHub geht man laut Angaben im Blog davon aus, dass es zu keiner Modifikation der Repositorien kam und kein Zugriff auf Nutzerdaten erfolgt ist.

GitHub berichtet im eigenen Blog laufend ĂĽber den aktuellen Stand. Das Team empfiehlt darin, die Meldungen von Travis CI und Heroku zu beachten.

(pst)