GitHub раскрыла объем похищенных хакерами данных во время апрельской атаки с помощью скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CIGitHub.
Руководитель отдела по безопасной разработке продуктов GitHub Грег Осе рассказал, что хакеры во время атаки смогли похитить из облачных хранилищ NPM:
- данные около 100 тыс. учетных записей (имена пользователей, хэши паролей, электронные адреса) из архива за 2015 год;
- все манифесты и метаданные приватных пакетов по состоянию на 7 апреля 2021 года;
- имена и semVer изданных версий всех приватных пакетов по состоянию на 10 апреля 2022 года;
- приватные пакеты двух организаций.
GitHub продолжает расследование инцидента и тесно сотрудничает с пострадавшими от атаки клиентами для устранения последствий утечки данных. GitHub назвала атаку целенаправленной, так как хакеры разместили список организаций с целью идентификации учетных записей и клонирования частных репозиториев. Платформа не смогла идентифицировать злоумышленников, которые провели эту атаку.
Эксперты GitHub раскрыли, что до атаки обнаружили во внутренних журналах сервисов NPM учетные данные пользователей в незашифрованном виде, включая токены доступа npm, небольшое количество паролей для учетных записей npm и отправленные сервисам npm персональные токены доступа GitHub. Они попали туда по ошибке после интеграции системы логгирования NPM в системы GitHub. Специалисты платформы успели удалить эти данные до инцидента в апреле.
12 апреля GitHub зафиксировал инцидент по утечке данных из приватных репозиториев клиентов платформы с использованием скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CIGitHub. Хакеры украли конфиденциальные данные десятков организаций, включая NPM. Платформа уточнила, что не зафиксировала взломов своей инфраструктуры, а токены для авторизации доступа с внешних систем не хранятся на стороне GitHub в исходном формате.
Расследование GitHub показало, что в начале апреля на некоторое время злоумышленники получили доступ к к NPM-пакетам в сервисе AWS S3. Для этого они извлекли из приватных репозиториев GitHub сторонние токены OAuth для доступа к API Amazon Web Services.
Эксперты GitHub также изучили действия хакеров после получения доступа к репозиториям NPM. Они не обнаружили там модификации пакетов или попыток доступа к базам данных с учетными записями пользователей.
В начале мая Heroku (принадлежит Saleforce) признала, что из-за кражи OAuth-токенов GitHub злоумышленники получили несанкционированный доступ к внутренней базе данных клиентов. В связи с этим компания решила сбросить все пароли пользователей Heroku и гарантировала восстановление потенциально затронутых учётных данных.
