Dịch vụ lưu trữ dựa trên nền tảng đám mây GitHub đã tiết lộ rằng họ phát hiện tin tặc lợi dụng việc đánh cắp Token để tải dữ liệu cá nhân từ một tổ chức.
Nhà nghiên cứu Mike Hanley của GitHub tiết lộ trong một blog rằng “kẻ tấn công đã lợi dụng việc OAuth* token bị đánh cắp được cấp cho Heroku và Travis-CI, để truy cập dữ liệu từ hàng chục tổ chức, bao gồm NPM”.
*Oauth (Open Authorization) là một phương pháp ủy quyền truy cập, thường được dùng để cấp quyền truy cập cho một trang web hoặc ứng dụng mà không cần cấp mật khẩu. Cơ chế này được các công ty như Amazon, Google, Facebook, Microsoft và Twitter sử dụng để người dùng chia sẻ thông tin về tài khoản với các ứng dụng hoặc trang web của bên thứ ba [VT1] .
Oauth token thường được các ứng dụng và dịch vụ sử dụng để cấp quyền truy cập vào phần mềm cụ thể và giao tiếp với nhau mà không cần chia sẻ thông tin xác thực thực tế. Đây là một trong những phương pháp phổ biến nhất được sử dụng để ủy quyền từ dịch vụ đăng nhập một lần (Single sign-on – SSO) sang một ứng dụng khác.
Tính đến 15/04/2022, các ứng dụng bị ảnh hưởng bao gồm:
- Heroku Dashboard (ID: 145909)
- Heroku Dashboard (ID: 628778)
- Heroku Dashboard – Preview (ID: 313468)
- Heroku Dashboard – Classic (ID: 363831), and
- Travis CI (ID: 9216)
Ngoài ra, GitHub cũng cảnh báo, rất có thể các tác nhân đe dọa đang phân tích dữ liệu đánh cắp được bằng cách sử dụng ứng dụng OAuth của bên thứ ba này để thu thập thêm dữ liệu bí mật để tấn công các phần khác trong cơ sở hạ tầng mục tiêu.
Công ty đã có được các bằng chứng về chiến dịch tấn công ngày 12/04 truy cập trái phép vào NPM bằng cách sử dung AWS API key. Khóa API này có được nhờ vào việc download tập hợp kho lưu trữ NPM bằng cách đánh cắp Oauth token. GitHub cho biết, họ đã thu hồi các token này trên các ứng dụng bi ảnh hưởng.
Cho đến nay, chưa có bằng chứng về việc hacker thực hiện sửa đổi hoặc giành quyền truy cập vào dữ liệu người dùng. Công ty vẫn đang điều tra để xác định các hành động mà hacker có thể thực hiện trên dữ liệu riêng tư.
Nguồn: https://thehackernews.com/