Mercado abrirá em 3 h 48 min

Invasões a contas no GitHub parecia preparação para golpe maior

  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
Neste artigo:
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.

O GitHub divulgou na quarta-feira (27) uma atualização sobre um ataque registrado na última semana, com furto de tokens de autenticação e um possível comprometimento de contas no repositório. De acordo com a empresa, o ataque que resultou na invasão de dezenas de contas, incluindo algumas da própria administração do serviço, exibe um comportamento que indica uma preparação para um golpe maior, que parece ter sido frustrado quando a plataforma detectou o problema.

A plataforma segue na etapa final de notificar usuários atingidos, mas já divulgou uma cronologia com as atividades maliciosas realizadas até a detecção da intrusão. O ataque, que começou com o uso de tokens OAuth roubados de serviços de computação em nuvem e testes de software da Heroku e Travis-CI, resultou em uma varredura das contas atingidas como forma de identificar ativos e códigos que pudessem ser interessantes para futuras explorações.

De acordo com o GitHub, depois de listar todas as organizações, os autores começaram a escolher alvos e analisar repositórios específicos, que seriam do interesse deles. Alguns chegaram a ser clonados de forma privada, um trabalho que foi interrompido pela detecção da movimentação e a revogação das chaves de autenticação usadas para acesso.

A atualização da plataforma sobre o caso não traz o número de organizações atingidas, nem fala sobre uma possível origem para o vazamento de tokens de autenticação, embora o ataque também tenha envolvido chaves da Amazon Web Services que serviram como forma de detecção. O informe também não fala sobre eventuais comprometimentos e download de informações sensíveis dos repositórios acessados pelos criminosos.

A recomendação de segurança segue a mesma desde o dia 15 de abril, quando a brecha foi revelada ao mundo. As organizações devem atualizar tokens de autenticação da Heroku e Travis-CI usados em seus sistemas internos e aplicativos. Apesar de não existirem indícios de alteração de códigos ou download de repositórios, a ideia de que os atacantes tiveram acesso às estruturas pode levantar a necessidade de monitoramento, já que novos golpes podem ser realizados de forma direta, de acordo com informações obtidas nesta brecha.

O GitHub reforçou que não existiu nenhum tipo de comprometimento a seus sistemas internos e que segue investigando o caso e entrando em contato com todos os atingidos. A empresa também indicou relatórios das duas organizações cujos tokens vazaram como forma de obter dados adicionais sobre o incidente.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos