OAuth Heroku

GitHub telah membagikan garis waktu pelanggaran keamanan bulan ini ketika seorang aktor ancaman memperoleh akses ke dan mencuri repositori pribadi milik lusinan organisasi.

Penyerang menggunakan token aplikasi OAuth curian yang dikeluarkan untuk Heroku dan Travis-CI untuk melanggar akun pelanggan GitHub.com dengan integrasi aplikasi OAuth Heroku atau Travis CI resmi.

Chief Security Officer GitHub Mike Hanley mengatakan perusahaan belum menemukan bukti bahwa sistemnya telah dibobol sejak insiden itu pertama kali ditemukan pada 12 April 2022.

GitHub masih bekerja untuk memperingatkan semua pengguna dan organisasi yang terkena dampak, dengan perusahaan sedang dalam proses mengirimkan pemberitahuan terakhir kepada pengguna GitHub.com yang terpengaruh mulai hari ini.

Analisis perilaku penyerang, sementara ia memiliki akses ke akun Github yang disusupi, menunjukkan bahwa aktivitas berikut dilakukan di GitHub.com menggunakan token aplikasi OAuth yang dicuri:

Penyerang mengautentikasi ke GitHub API menggunakan token OAuth curian yang dikeluarkan untuk Heroku dan Travis CI.
Bagi kebanyakan orang yang memiliki aplikasi Heroku atau Travis CI OAuth yang terpengaruh yang diotorisasi di akun GitHub mereka, penyerang mencantumkan semua organisasi pengguna.
Penyerang kemudian secara selektif memilih target berdasarkan organisasi yang terdaftar.
Penyerang mendaftarkan repositori pribadi untuk akun pengguna yang diminati.
Penyerang kemudian melanjutkan untuk mengkloning beberapa repositori pribadi tersebut.

GitHub mengungkapkan pelanggaran pada malam tanggal 15 April, tiga hari setelah menemukan serangan itu, ketika aktor jahat mengakses infrastruktur produksi npm GitHub.

Pada tahap awal serangan, pelaku ancaman menggunakan kunci API AWS yang dikompromikan yang diperoleh setelah mengunduh beberapa repositori npm pribadi menggunakan token pengguna OAuth yang dicuri.

Sementara GitHub, Travis CI, dan Heroku telah mencabut semua token OAuth untuk memblokir akses lebih lanjut setelah menemukan serangan tersebut, organisasi yang terpengaruh disarankan untuk terus memantau log audit dan log keamanan akun pengguna mereka untuk aktivitas yang berpotensi berbahaya yang terkait dengan insiden ini.

GitHub membagikan panduan berikut kepada pelanggan yang berpotensi terkena dampak untuk membantu mereka menyelidiki log untuk bukti eksfiltrasi data atau aktivitas berbahaya:

Tinjau semua repositori pribadi Anda untuk mengetahui rahasia atau kredensial yang tersimpan di dalamnya. Ada beberapa alat yang dapat membantu tugas ini, seperti pemindaian rahasia GitHub dan trufflehog.
Tinjau aplikasi OAuth yang telah Anda otorisasi untuk akun pribadi Anda atau yang diotorisasi untuk mengakses organisasi Anda dan hapus apa pun yang tidak lagi diperlukan.
Ikuti panduan GitHub untuk memperkuat postur keamanan organisasi GitHub Anda.
Tinjau aktivitas akun Anda, token akses pribadi, aplikasi OAuth, dan kunci SSH untuk aktivitas atau perubahan apa pun yang mungkin berasal dari penyerang.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

OAuth Heroku

Cookies Settings