日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

GitHub 4月15日透露，網(wǎng)絡(luò)攻擊者正使用被盜的 OAuth 用戶令牌從其私有存儲庫下載數(shù)據(jù)。

創(chuàng)新互聯(lián)是一家網(wǎng)站設(shè)計公司，集創(chuàng)意、互聯(lián)網(wǎng)應(yīng)用、軟件技術(shù)為一體的創(chuàng)意網(wǎng)站建設(shè)服務(wù)商，主營產(chǎn)品：響應(yīng)式網(wǎng)站設(shè)計、成都品牌網(wǎng)站建設(shè)、成都全網(wǎng)營銷推廣。我們專注企業(yè)品牌在網(wǎng)站中的整體樹立，網(wǎng)絡(luò)互動的體驗，以及在手機等移動端的優(yōu)質(zhì)呈現(xiàn)。成都網(wǎng)站建設(shè)、做網(wǎng)站、移動互聯(lián)產(chǎn)品、網(wǎng)絡(luò)運營、VI設(shè)計、云產(chǎn)品.運維為核心業(yè)務(wù)。為用戶提供一站式解決方案，我們深知市場的競爭激烈，認真對待每位客戶，為客戶提供賞析悅目的作品，網(wǎng)站的價值服務(wù)。

據(jù)悉，這類攻擊事件被首次發(fā)現(xiàn)于4月12日，攻擊者使用 Heroku 和 Travis-CI 兩家第三方集成商維護的 OAuth 應(yīng)用程序(包括 npm)訪問并竊取了數(shù)十個組織的數(shù)據(jù)。GitHub首席安全官 (CSO) Mike Hanley 透露，這些集成商維護的應(yīng)用程序會被 GitHub 用戶使用，也包括 GitHub 本身。

“我們不認為攻擊者通過入侵 GitHub 或其系統(tǒng)獲得了這些令牌，因為 GitHub 并未以原始的可用格式存儲這些令牌，”Hanley表示。““我們對攻擊者的其他行為分析表明，他們可能正在挖掘下載私有存儲庫內(nèi)容，被盜的 OAuth 令牌可以訪問這些內(nèi)容，以獲取可用于其他基礎(chǔ)設(shè)施的秘密。”

根據(jù) Hanley 的說法，受影響的 OAuth 應(yīng)用程序包括：

• Heroku Dashboard (ID： 145909)
• Heroku Dashboard (ID： 628778)
• Heroku Dashboard – Preview (ID： 313468)
• Heroku Dashboard – Classic (ID： 363831)
• Travis CI (ID： 9216)

根據(jù)描述，GitHub 安全部門 于 4 月 12 日發(fā)現(xiàn)攻擊者使用泄露的 AWS API 密鑰，對 GitHub 的 npm 生產(chǎn)基礎(chǔ)設(shè)施進行未經(jīng)授權(quán)的訪問。這些API密鑰可能就是攻擊者使用竊取的 OAuth 令牌下載多個私有 npm 存儲庫后獲得。4月13日，在發(fā)現(xiàn)第三方 OAuth 令牌被盜竊后，GitHub已立即采取行動，通過撤銷與 GitHub 相關(guān)令牌和 npm 對這些受感染應(yīng)用程序的內(nèi)部使用來保護數(shù)據(jù)。

雖然攻擊者能夠從受感染的存儲庫中竊取數(shù)據(jù)，但 GitHub 認為，npm 使用與 GitHub 完全獨立的基礎(chǔ)設(shè)施， GitHub沒有任何包被修改，也沒有在攻擊中出現(xiàn)訪問用戶帳戶數(shù)據(jù)或憑證泄露的情況。此外，也未有任何證據(jù)表明，攻擊者使用被盜的第三方 OAuth 令牌克隆了其他的 GitHub 私有存儲庫。

目前調(diào)查仍在繼續(xù)，GitHub 已將有關(guān)情況通知給所有受影響的用戶和組織。

參考來源：https://www.bleepingcomputer.com/news/security/github-attacker-breached-dozens-of-orgs-using-stolen-oauth-tokens/

新聞名稱：GitHub：OAuth令牌被盜，數(shù)十個組織數(shù)據(jù)被竊
新聞來源：http://m.5511xx.com/article/dhdpsdd.html