Jetons GitHub et GitLab OAuth volés par des pirates pour obtenir un accès non autorisé

0

[ad_1]

Des pirates inconnus ont volé des jetons OAuth de GitHub et GitLab, de Waydev, Dave.com et Flood.io à obtenir un accès non autorisé aux bases de code de leurs clients. GitHub a mis en garde quelques utilisateurs contre l'accès malveillant à leurs codes sources via des jetons OAuth volés.

Les pirates informatiques obtiennent un accès non autorisé aux codes source des clients

Les entreprises et les développeurs stockent leurs codes laborieux dans des référentiels privés de GitHub ou GitLab, pour continuer à développer plus tard ou partager avec seulement quelques utilisateurs autorisés. Mais avec un jeton OAuth, n'importe qui peut accéder à ses référentiels privés.

Le jeton OAuth est un jeton standard ouvert utilisé par des services tiers pour partager l'accès à ses données avec d'autres. Ici, si les jetons OAuth générés par GitHub et GitLab sont partagés avec quelqu'un, il est autorisé à afficher et à modifier les données présentées dans ce compte spécifique. Waydev, une société d'analyse qui suit la sortie d'un ingénieur logiciel en analysant ses bases de code basées sur Git, a été violée plus tôt ce mois-ci!

La violation s'est produite le 3 juillet a conduit des pirates à voler les jetons OAuth, que Waydev a reçus depuis GitHub et GitLab via l'autorisation des utilisateurs. Ces jetons ont ensuite été utilisés par les pirates pour accéder aux référentiels GitHub de leurs utilisateurs concernés (clients), qui contenaient des travaux privés sensibles.

Le co-fondateur et PDG de Waydev, Alex Circei, a déclaré ZDNet car les pirates ont exploité une vulnérabilité d'injection SQL aveugle dans Waydev, qui leur a donné accès à leur base de données où l'entreprise stocke tous les jetons OAuth de ses clients. La société a alors corrigé ce trou révoqué l'accès aux comptes et informé les autorités américaines compétentes. En outre, l'entreprise a également pris des mesures telles que:

  • Surveiller toute l'activité,
  • Signaler l'incident aux autorités,
  • Accès manuel – Il est désormais impossible de créez un compte sans l'approbation de notre équipe de sécurité
  • et
  • Les jetons sont réinitialisés deux fois par jour.

[ad_2]

Leave A Reply

Your email address will not be published.