OAuth访问令牌是个双刃剑

admin 2022年4月21日00:11:23安全闲碎评论11 views561字阅读1分52秒阅读模式



OAuth访问令牌是个双刃剑


     黑客利用被盗的OAuth访问令牌入侵了数十个组织。

GitHub透露,有证据表明,一个身份不明的黑客利用向Heroku和Travis-CI发放的被盗OAuth用户令牌,非法下载了数十个组织的私人数据。GitHub的首席安全官 Mike Hanley表示,受影响的组织包括NPM。GitHub用户和GitHub本身使用由目标集成商维护的应用程序。该活动于2022年4月12日首次发现。Mike Hanley说:“我们不认为攻击者通过入侵GitHub或其系统获得了这些令牌,因为GitHub没有以原始可用格式存储这些令牌

OAuth访问令牌是个双刃剑

     GitHub 首席安全官 Mike Hanley 透露,攻击者正在使用被盗的 OAuth 用户令牌从私有存储库中下载数据。这个 AWS API 密钥是攻击者通过使用窃取的 OAuth 令牌从一组私有 npm 仓库中获得的,但攻击者没有修改任何 GitHub 包或访问任何用户帐户数据,只下载了受影响的私有仓库代码。这次 OAuth 用户令牌泄露,受影响的服务包括:Heroku Dashboard 和 Travis CI ,GitHub 已经撤销了与受影响应用程序相关的访问令牌,并以邮件通知所有已知受影响的用户和组织。


OAuth访问令牌是个双刃剑
OAuth访问令牌是个双刃剑
OAuth访问令牌是个双刃剑

OAuth访问令牌是个双刃剑

END

OAuth访问令牌是个双刃剑

OAuth访问令牌是个双刃剑
OAuth访问令牌是个双刃剑

关注我获得

更多精彩





原文始发于微信公众号(数据安全合规交流部落):OAuth访问令牌是个双刃剑

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月21日00:11:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  OAuth访问令牌是个双刃剑 http://cn-sec.com/archives/929911.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: