Invasões a contas no GitHub pareciam preparação para golpe maior

O GitHub divulgou na quarta-feira (27) uma atualização sobre um ataque registrado na última semana, com furto de tokens de autenticação e um possível comprometimento de contas no repositório. De acordo com a empresa, o ataque que resultou na invasão de dezenas de contas, incluindo algumas da própria administração do serviço, exibe um comportamento que indica uma preparação para um golpe maior, que parece ter sido frustrado quando a plataforma detectou o problema.

• Bancos de dados expostos na internet aumentaram 12% no começo de 2022
• 5 dicas para empresas se protegerem de vazamentos de dados

A plataforma segue na etapa final de notificar usuários atingidos, mas já divulgou uma cronologia com as atividades maliciosas realizadas até a detecção da intrusão. O ataque, que começou com o uso de tokens OAuth roubados de serviços de computação em nuvem e testes de software da Heroku e Travis-CI, resultou em uma varredura das contas atingidas como forma de identificar ativos e códigos que pudessem ser interessantes para futuras explorações.

De acordo com o GitHub, depois de listar todas as organizações, os autores começaram a escolher alvos e analisar repositórios específicos, que seriam do interesse deles. Alguns chegaram a ser clonados de forma privada, um trabalho que foi interrompido pela detecção da movimentação e a revogação das chaves de autenticação usadas para acesso.

A atualização da plataforma sobre o caso não traz o número de organizações atingidas, nem fala sobre uma possível origem para o vazamento de tokens de autenticação, embora o ataque também tenha envolvido chaves da Amazon Web Services que serviram como forma de detecção. O informe também não fala sobre eventuais comprometimentos e download de informações sensíveis dos repositórios acessados pelos criminosos.

A recomendação de segurança segue a mesma desde o dia 15 de abril, quando a brecha foi revelada ao mundo. As organizações devem atualizar tokens de autenticação da Heroku e Travis-CI usados em seus sistemas internos e aplicativos. Apesar de não existirem indícios de alteração de códigos ou download de repositórios, a ideia de que os atacantes tiveram acesso às estruturas pode levantar a necessidade de monitoramento, já que novos golpes podem ser realizados de forma direta, de acordo com informações obtidas nesta brecha.

O GitHub reforçou que não existiu nenhum tipo de comprometimento a seus sistemas internos e que segue investigando o caso e entrando em contato com todos os atingidos. A empresa também indicou relatórios das duas organizações cujos tokens vazaram como forma de obter dados adicionais sobre o incidente.

Fonte: GitHub