📢 Срочно отзовите OAuth токены приложений Heroku и Travis CI из своего GitHub аккаунта!

0

1

Довольно важно! Если пользуешься гитхабом, то…

Гитхаб сообщил https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/, что хероку и тревис были взломаны, и есть случаи, когда злоумышленники через эти приложения, используя OAuth, воруют и портят (грабят корованы) чужие репозитории. Рекомендую отозвать авторизацию и утих приложений. В настройках профиля - Applications - (Heroku/Travis) - Danger Zone - Suspend installation (or Uninstall at all)

Ссылка

←	Пожалуйста, помогите сравнить безопасность последних версий SSH и TLS

Tox

→

Кто такой Heroku и кто ещё пользуется Travis, спустя 5 лет?

beastie ★★★★★
(27.04.22 22:55:56 MSK)

Ответ на: комментарий от beastie 27.04.22 22:55:56 MSK

Hi bvn13,

We're writing to let you know that the names of the organizations your GitHub account is a member of, if any, were likely viewed as part of an attack campaign against GitHub customers. Unless you have received a separate notification from GitHub indicating otherwise, we do NOT have evidence to suggest that the attacker used your account to view other private information, such as repository names or content. 

We've shared details of this campaign on our blog:

https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/

GitHub provides a platform that third-parties can integrate with by building various apps. These apps, and the secrets associated with them, are in control of the third-parties that build, own, and maintain the apps. Loss of control of these secrets can result in unauthorized parties using them to access the GitHub repositories for which they are authorized. This attack campaign did not result from a compromise of GitHub.com, but rather relates to the compromise of these secrets held by Heroku and Travis CI.

If you have questions or need assistance regarding affected OAuth applications maintained by Heroku, please contact Heroku Support (https://help.heroku.com/). Updates can be found on their status site: https://status.heroku.com/incidents/2413

If you have questions or need assistance regarding affected OAuth applications maintained by Travis CI, please reach out to compliance@travis-ci.com.

Thanks, 
GitHub Security

bvn13 ★★★★★
(27.04.22 22:56:28 MSK) автор топика

Ссылка

Отозвали бы всем, сразу.

Нет, надо спустя две недели написать на почту «ну вы это проверьте да?»

~~a1batross~~ ★★★★★
(27.04.22 23:15:48 MSK)

Ответ на: комментарий от beastie 27.04.22 22:55:56 MSK

и кто ещё пользуется Travis

А какие альтернативы? GitHub Actions?

hobbit ★★★★★
(27.04.22 23:23:17 MSK)
Последнее исправление: hobbit 27.04.22 23:25:45 MSK (всего исправлений: 1)

Ответ на: комментарий от a1batross 27.04.22 23:15:48 MSK

У меня был токен, и он удалился недавно без моего участия. Ни к heroku ни к travis привязан не был.

rupert ★★★★★
(27.04.22 23:25:45 MSK)

Ссылка

Ответ на: комментарий от hobbit 27.04.22 23:23:17 MSK

AppVeyor

xaizek ★★★★★
(28.04.22 00:03:24 MSK)

Ссылка

Я не помню что-бы пользовался, но наверное давным давно игрался, глянул лог безопасности https://i.ibb.co/pRPjDQ7/2022-04-28-00-07-53.png в самом низу обратите внимание и там какой то shairyar, вот он https://github.com/shairyar удалил мне OAuth application (Travis CI). То есть он входил в мой аккаунт? Пароль я сбросил. Странно что логов до момента 12 дней назад нету.

LINUX-ORG-RU ★★★★★
(28.04.22 00:17:52 MSK)

Ответ на: комментарий от a1batross 27.04.22 23:15:48 MSK

Мне какой то левый чел отозвал 12 дней назад :D Как это работает я не понял

LINUX-ORG-RU ★★★★★
(28.04.22 00:25:19 MSK)
Последнее исправление: LINUX-ORG-RU 28.04.22 00:25:33 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от LINUX-ORG-RU 28.04.22 00:17:52 MSK

Он разраб этого приложения (для трависа). У меня тоже отозвал, хотя я уже давно его засуспендил за ненадобностью.

KillTheCat ★★★★★
(28.04.22 00:31:35 MSK)

Ответ на: комментарий от hobbit 27.04.22 23:23:17 MSK

GitHub Actions?

Почему нет? И на коленках стоять выпрашивая билдочасы не нужно.

KillTheCat ★★★★★
(28.04.22 00:32:41 MSK)

Ссылка

Ответ на: комментарий от KillTheCat 28.04.22 00:31:35 MSK

Хм, типа он со своей стороны отозвал, а гитхаб просто пометил что мол вон та сторона отозвала. Типа так? Ну тогда ладно, спасибо ему чё.

В любом случае я так понял из блога гитхаба, злоумышленники выкачивали приватные репы. Как хорошо что мои приватные репы у меня на локалхосте, а то вдруг скачали бы, увидели и от хохота померли попутно избив в кровь лицо фейспалмами =)

LINUX-ORG-RU ★★★★★
(28.04.22 00:38:34 MSK)

Ответ на: комментарий от LINUX-ORG-RU 28.04.22 00:38:34 MSK

Хотя про секреты травсиса ничего не пишут, на всякий случай отозвал его токены для pypi.

KillTheCat ★★★★★
(28.04.22 00:48:33 MSK)

Ссылка

Ответ на: комментарий от hobbit 27.04.22 23:23:17 MSK

А какие альтернативы? GitHub Actions?

У меня GitHub Actions триггерится на коммиты и пуллреквесты и делает сборку приложения для разных систем и в разных конфигурациях. Довольно удобная штука.

~~RussianWarShip~~
(28.04.22 21:00:13 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Пожалуйста, помогите сравнить безопасность последних версий SSH и TLS

Security

Tox

→

Похожие темы