GitHub teilte am Montag mit, dass es alle Opfer einer Angriffskampagne benachrichtigt hat, bei der Unbefugte private Repository-Inhalte heruntergeladen haben, indem sie OAuth-Benutzer-Tokens von Drittanbietern ausnutzten, die von Heroku und Travis CI verwaltet werden.
„Kunden sollten auch weiterhin Heroku und Travis CI auf dem Laufenden halten, was ihre eigenen Untersuchungen der betroffenen OAuth-Anwendungen angeht“, so das Unternehmen in einem aktualisierten Beitrag.
Der Vorfall wurde ursprünglich am 12. April bekannt, als GitHub Anzeichen dafür entdeckte, dass ein böswilliger Akteur die gestohlenen OAuth-Benutzer-Tokens, die an Heroku und Travis-CI ausgegeben wurden, zum Herunterladen von Daten von Dutzenden von Organisationen, einschließlich NPM, genutzt hatte.
Die Plattform, die sich im Besitz von Microsoft befindet, erklärte außerdem, dass sie ihre Kunden umgehend benachrichtigen wird, sollte die laufende Untersuchung weitere Opfer aufdecken. Außerdem warnte sie davor, dass der Angreifer möglicherweise auch in den Repositories nach Geheimnissen sucht, die für andere Angriffe genutzt werden könnten.
Heroku, das nach dem Vorfall die Unterstützung für die GitHub-Integration zurückgezogen hat, empfahl den Nutzern, ihre Anwendungen mit Git oder anderen Versionskontrollanbietern wie GitLab oder Bitbucket zu integrieren.
Der Anbieter des gehosteten Continuous-Integration-Dienstes Travis CI erklärte in einer ähnlichen Mitteilung vom Montag, dass er „alle Autorisierungsschlüssel und Token widerrufen hat, um weiteren Zugriff auf unsere Systeme zu verhindern“.
Das Unternehmen gab an, dass keine Kundendaten preisgegeben wurden, räumte aber ein, dass die Angreifer in einen Heroku-Dienst eingedrungen sind und auf den OAuth-Schlüssel einer privaten Anwendung zugegriffen haben, die für die Integration der Heroku- und Travis CI-Apps verwendet wird.
Travis CI betonte jedoch, dass es keine Beweise dafür gibt, dass die Angreifer in ein privates Kunden-Repository eingedrungen sind oder sich unberechtigten Zugang zum Quellcode verschafft haben.
„In Anbetracht der uns vorliegenden Daten und aus Vorsicht hat Travis CI alle privaten Kundenschlüssel und Token, die Travis CI mit GitHub verbinden, widerrufen und neu ausgegeben, um sicherzustellen, dass keine Kundendaten gefährdet sind“, so das Unternehmen.