Post Top Ad

Your Ad Spot

martes, 28 de julio de 2020

Tokens GitHub y GitLab OAuth robados por piratas informáticos para obtener acceso no autorizado

Hackers desconocidos han robado tokens OAuth de GitHub y GitLab, de Waydev, Dave.com y Flood.io para obtener acceso no autorizado a las bases de códigos de sus clientes. GitHub ha advertido a pocos usuarios del acceso malicioso a sus códigos fuente a través de tokens OAuth robados.

Los hackers obtienen acceso no autorizado a los códigos fuente del cliente

Las empresas y los desarrolladores almacenan sus códigos trabajados en repositorios privados de GitHub o GitLab, para continuar desarrollándolos más tarde o compartirlos con solo unos pocos usuarios autorizados. Pero con un token OAuth, cualquiera puede acceder a sus repositorios privados.
El token OAuth es un token estándar abierto utilizado por servicios de terceros para compartir el acceso de sus datos a otros. Aquí, si los tokens OAuth generados por GitHub y GitLab se comparten con alguien, se les permite ver y modificar los datos presentados en esa cuenta específica. ¡Waydev, una firma de análisis que rastrea la producción de un ingeniero de software analizando sus bases de código basadas en Git, fue violada a principios de este mes!
La violación ocurrió el 3 de julio y los hackers robaron los tokens OAuth, que Waydev recibió de GitHub y GitLab a través del permiso de los usuarios. Estos tokens luego los usaron los piratas informáticos para obtener acceso a los repositorios GitHub de sus usuarios (clientes) afectados, que contenían trabajo privado confidencial.
El cofundador y CEO de Waydev, Alex Circei, dijo a ZDNet que los piratas informáticos han explotado una vulnerabilidad de inyección SQL ciega en Waydev, que les dio acceso a su base de datos donde la compañía almacena todos los tokens OAuth de sus clientes. Luego, la compañía parchó este agujero , revocó el acceso a las cuentas e informó a las autoridades estadounidenses relevantes. Además, la compañía también ha tomado medidas como;
  •  Monitorear toda la actividad,
  • Reportó el incidente a las autoridades,
  • Acceso manual: ahora es imposible crear una cuenta sin la aprobación de nuestro
  • equipo de seguridad, y
  • Los tokens se reinician dos veces al día.

No hay comentarios.:

Publicar un comentario

Dejanos tu comentario para seguir mejorando!

outbrain

Páginas