OAuth访问令牌是个双刃剑

     黑客利用被盗的OAuth访问令牌入侵了数十个组织。

GitHub透露，有证据表明，一个身份不明的黑客利用向Heroku和Travis-CI发放的被盗OAuth用户令牌，非法下载了数十个组织的私人数据。GitHub的首席安全官 Mike Hanley表示，受影响的组织包括NPM。GitHub用户和GitHub本身使用由目标集成商维护的应用程序。该活动于2022年4月12日首次发现。Mike Hanley说：“我们不认为攻击者通过入侵GitHub或其系统获得了这些令牌，因为GitHub没有以原始可用格式存储这些令牌。

     GitHub 首席安全官 Mike Hanley 透露，攻击者正在使用被盗的 OAuth 用户令牌从私有存储库中下载数据。这个 AWS API 密钥是攻击者通过使用窃取的 OAuth 令牌从一组私有 npm 仓库中获得的，但攻击者没有修改任何 GitHub 包或访问任何用户帐户数据，只下载了受影响的私有仓库代码。这次 OAuth 用户令牌泄露，受影响的服务包括：Heroku Dashboard 和 Travis CI ，GitHub 已经撤销了与受影响应用程序相关的访问令牌，并以邮件通知所有已知受影响的用户和组织。

END