日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
GitHub:OAuth令牌被盜,數(shù)十個(gè)組織數(shù)據(jù)被竊

GitHub 4月15日透露,網(wǎng)絡(luò)攻擊者正使用被盜的 OAuth 用戶令牌從其私有存儲(chǔ)庫(kù)下載數(shù)據(jù)。

創(chuàng)新互聯(lián)是一家網(wǎng)站設(shè)計(jì)公司,集創(chuàng)意、互聯(lián)網(wǎng)應(yīng)用、軟件技術(shù)為一體的創(chuàng)意網(wǎng)站建設(shè)服務(wù)商,主營(yíng)產(chǎn)品:響應(yīng)式網(wǎng)站設(shè)計(jì)、成都品牌網(wǎng)站建設(shè)成都全網(wǎng)營(yíng)銷推廣。我們專注企業(yè)品牌在網(wǎng)站中的整體樹(shù)立,網(wǎng)絡(luò)互動(dòng)的體驗(yàn),以及在手機(jī)等移動(dòng)端的優(yōu)質(zhì)呈現(xiàn)。成都網(wǎng)站建設(shè)、做網(wǎng)站、移動(dòng)互聯(lián)產(chǎn)品、網(wǎng)絡(luò)運(yùn)營(yíng)、VI設(shè)計(jì)、云產(chǎn)品.運(yùn)維為核心業(yè)務(wù)。為用戶提供一站式解決方案,我們深知市場(chǎng)的競(jìng)爭(zhēng)激烈,認(rèn)真對(duì)待每位客戶,為客戶提供賞析悅目的作品,網(wǎng)站的價(jià)值服務(wù)。

據(jù)悉,這類攻擊事件被首次發(fā)現(xiàn)于4月12日,攻擊者使用 Heroku 和 Travis-CI 兩家第三方集成商維護(hù)的 OAuth 應(yīng)用程序(包括 npm)訪問(wèn)并竊取了數(shù)十個(gè)組織的數(shù)據(jù)。GitHub首席安全官 (CSO) Mike Hanley 透露,這些集成商維護(hù)的應(yīng)用程序會(huì)被 GitHub 用戶使用,也包括 GitHub 本身。

“我們不認(rèn)為攻擊者通過(guò)入侵 GitHub 或其系統(tǒng)獲得了這些令牌,因?yàn)?GitHub 并未以原始的可用格式存儲(chǔ)這些令牌,”Hanley表示?!啊拔覀儗?duì)攻擊者的其他行為分析表明,他們可能正在挖掘下載私有存儲(chǔ)庫(kù)內(nèi)容,被盜的 OAuth 令牌可以訪問(wèn)這些內(nèi)容,以獲取可用于其他基礎(chǔ)設(shè)施的秘密?!?/p>

根據(jù) Hanley 的說(shuō)法,受影響的 OAuth 應(yīng)用程序包括:

  • Heroku Dashboard (ID: 145909)
  • Heroku Dashboard (ID: 628778)
  • Heroku Dashboard – Preview (ID: 313468)
  • Heroku Dashboard – Classic (ID: 363831)
  • Travis CI (ID: 9216)

根據(jù)描述,GitHub 安全部門 于 4 月 12 日發(fā)現(xiàn)攻擊者使用泄露的 AWS API 密鑰,對(duì) GitHub 的 npm 生產(chǎn)基礎(chǔ)設(shè)施進(jìn)行未經(jīng)授權(quán)的訪問(wèn)。這些API密鑰可能就是攻擊者使用竊取的 OAuth 令牌下載多個(gè)私有 npm 存儲(chǔ)庫(kù)后獲得。4月13日,在發(fā)現(xiàn)第三方 OAuth 令牌被盜竊后,GitHub已立即采取行動(dòng),通過(guò)撤銷與 GitHub 相關(guān)令牌和 npm 對(duì)這些受感染應(yīng)用程序的內(nèi)部使用來(lái)保護(hù)數(shù)據(jù)。

雖然攻擊者能夠從受感染的存儲(chǔ)庫(kù)中竊取數(shù)據(jù),但 GitHub 認(rèn)為,npm 使用與 GitHub 完全獨(dú)立的基礎(chǔ)設(shè)施, GitHub沒(méi)有任何包被修改,也沒(méi)有在攻擊中出現(xiàn)訪問(wèn)用戶帳戶數(shù)據(jù)或憑證泄露的情況。此外,也未有任何證據(jù)表明,攻擊者使用被盜的第三方 OAuth 令牌克隆了其他的 GitHub 私有存儲(chǔ)庫(kù)。

目前調(diào)查仍在繼續(xù),GitHub 已將有關(guān)情況通知給所有受影響的用戶和組織。

參考來(lái)源:https://www.bleepingcomputer.com/news/security/github-attacker-breached-dozens-of-orgs-using-stolen-oauth-tokens/


本文題目:GitHub:OAuth令牌被盜,數(shù)十個(gè)組織數(shù)據(jù)被竊
URL標(biāo)題:http://www.5511xx.com/article/dhdpsdd.html