GitHub sofre roubo de dados; tokens corporativos vêm sendo usados em invasões
Por Felipe Demartini | Editado por Claudio Yuge | 18 de Abril de 2022 às 13h30
O GitHub revelou neste final de semana estar sendo alvo de uma série de ataques que usam tokens de autenticação furtados, que estão sendo usados para acessar a extrair dados de perfis corporativos cadastrados na plataforma. De acordo com o repositório, até mesmo contas internas teriam sido atingidas pela campanha, com dezenas de organizações comprometidas desta maneira.
- Vazamento de dados corporativos aumentou 78% em 2021; saiba como se proteger
- Microsoft aumenta valores pagos em programa de bug bounty
Segundo o comunicado feito pela plataforma, estão sendo usados tokens de usuário OAuth fornecidos a serviços de cloud computing e testes de software, mais especificamente, da Heroku e Travis-CI. Os ataques usando os registros estariam ocorrendo desde a última terça-feira (12), com foco nas contas corporativas que possuem aplicações e APIs que se conectam a partir do sistema de autenticação.
Apesar de o próprio GitHub estar na lista de organizações atingidas, a ideia é que os sistemas do repositório de aplicações, em si, não foi comprometido. De acordo com Mike Hanley, diretor de segurança da plataforma, tais dados não são armazenados por ela em um formato utilizável que permitiria o furto, mas há seriedade no caso, já que ao acessar os ambientes, os hackers podem ter tido acesso a detalhes de infraestruturas e sistemas internos que podem levar a novos golpes contra as organizações.
Prova disso é a forma como a onda de ataques foi descoberta, após o uso de uma chave comprometida de servidores do Amazon Web Services, que provavelmente apareceu no meio dos tokens OAuth baixados pelos atacantes. Sendo assim, a expectativa é que mais segredos ou credenciais desse tipo estejam em meio ao vazamento, que não teve origem identificada e requer atenção de administradores quanto à segurança de suas próprias redes.
Por ora, o GitHub anunciou que revogou todos os tokens OAuth comprometidos e associados a contas na plataforma, recomendando que as organizações façam o mesmo em seus aplicativos e sistemas. Além disso, a empresa confirmou que, enquanto dados de repositórios foram efetivamente acessados pelos atacantes, não existem registros de alterações nos pacotes para inserção de agentes maliciosos ou roubo de credenciais e dados pessoais das contas. Todos os usuários impactados, também, estão sendo notificados pela rede.
Fonte: GitHub