駭客用盜來的OAuth權杖存取GitHub的私有儲存庫

GitHub上周五（4/15）警告，駭客濫用了授予Heroku及Travis-CI的OAuth使用者權杖，以於GitHub存取及下載屬於數十個組織的資料，包括npm在內。

GitHub安全長Mike Hanley說明，GitHub Security是在4月12日發現，有未經授權的駭客利用一個被危害的AWS API金鑰存取其npm生產基礎設施，分析後相信駭客先是使用盜來的OAuth權杖下載了一組私有的npm儲存庫，再於私有的儲存庫中找到該API金鑰。而遭盜用的OAuth權杖則是來自Heroku與Travis-CI其中一家業者。

Hanley指出，他們並不認為駭客是藉由危害GitHub來取得這些權杖，因為有問題的權杖並未以原始、可用的形式存放在GitHub上，相信憑證是自Heroku與Travis-CI所維護的OAuth應用程式外洩，並被用來下載數十個使用相關應用程式的組織存放於GitHub上的私有儲存庫。

目前已知被影響的OAuth應用程式涵蓋Heroku Dashboard （ID: 145909）、Heroku Dashboard （ID: 628778）、Heroku Dashboard – Preview （ID: 313468）、Heroku Dashboard – Classic （ID: 363831）與Travis CI （ID: 9216）。

此外，根據GitHub的分析，當駭客以外洩的OAuth權杖存取私有儲存庫之後，還會檢查這些私有儲存庫之中是否含有可用來存取其它基礎設施的憑證。

Hanley表示，駭客也許不僅存取了GitHub上npm的私有儲存庫，可能也存取了AWS S3上的npm套件，但駭客應該未變更任何套件，也未取得任何使用者帳號資料與憑證。GitHub仍在調查駭客檢視或下載了哪些私有套件，由於npm與GitHub使用不同的基礎設施，在此一攻擊事件中，GitHub並未受到影響。

在確認問題的根源後，GitHub於13日便撤銷了內部所使用的、來自上述OAuth應用的所有權杖，以保護GitHub與npm。

Heroku母公司Salesforce及Travis-CI也在13日收到GitHub的通知。

而Heroku遭駭的時間則更早。根據Salesforce的說明，駭客是在4月9日便存取了Heroku位於GitHub的私有儲存庫，還下載了原始碼，原因則為OAuth權杖遭到危害，在收到GitHub的通知後，Salesforce即立刻關閉了相關的OAuth權杖與GitHub帳號，隨後亦撤銷整合GitHub、來自Heroku Dashboard的所有OAuth權杖。

此外，Salesforce強調，被危害的OAuth權杖僅允許駭客存取Heroku客戶的GitHub儲存庫，而非Heroku帳號。

GitHub預計於72小時內通知所有受到此一事件影響的使用者及組織，建議用戶應定期查看已授權或被授權存取該組織的OAuth應用，並刪除不再需要的應用，也應檢查組織的稽核紀錄與用戶帳號的安全紀錄，以確保沒有任何異常活動。

不過，迄今Salesforce或Travis-CI並未公布相關權杖是如何外洩的。