LINUX.ORG.RU

📢 Срочно отзовите OAuth токены приложений Heroku и Travis CI из своего GitHub аккаунта!

 , , ,


0

1

Довольно важно! Если пользуешься гитхабом, то…

Гитхаб сообщил https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/, что хероку и тревис были взломаны, и есть случаи, когда злоумышленники через эти приложения, используя OAuth, воруют и портят (грабят корованы) чужие репозитории. Рекомендую отозвать авторизацию и утих приложений. В настройках профиля - Applications - (Heroku/Travis) - Danger Zone - Suspend installation (or Uninstall at all)

★★★★★

Последнее исправление: bvn13 (всего исправлений: 2)
Ответ на: комментарий от beastie
Hi bvn13,

We're writing to let you know that the names of the organizations your GitHub account is a member of, if any, were likely viewed as part of an attack campaign against GitHub customers. Unless you have received a separate notification from GitHub indicating otherwise, we do NOT have evidence to suggest that the attacker used your account to view other private information, such as repository names or content. 

We've shared details of this campaign on our blog:

https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/

GitHub provides a platform that third-parties can integrate with by building various apps. These apps, and the secrets associated with them, are in control of the third-parties that build, own, and maintain the apps. Loss of control of these secrets can result in unauthorized parties using them to access the GitHub repositories for which they are authorized. This attack campaign did not result from a compromise of GitHub.com, but rather relates to the compromise of these secrets held by Heroku and Travis CI.

If you have questions or need assistance regarding affected OAuth applications maintained by Heroku, please contact Heroku Support (https://help.heroku.com/). Updates can be found on their status site: https://status.heroku.com/incidents/2413

If you have questions or need assistance regarding affected OAuth applications maintained by Travis CI, please reach out to compliance@travis-ci.com.

Thanks, 
GitHub Security 
bvn13 ★★★★★
() автор топика

Отозвали бы всем, сразу.

Нет, надо спустя две недели написать на почту «ну вы это проверьте да?»

a1batross ★★★★★
()
Ответ на: комментарий от a1batross

У меня был токен, и он удалился недавно без моего участия. Ни к heroku ни к travis привязан не был.

rupert ★★★★★
()

Я не помню что-бы пользовался, но наверное давным давно игрался, глянул лог безопасности https://i.ibb.co/pRPjDQ7/2022-04-28-00-07-53.png в самом низу обратите внимание и там какой то shairyar, вот он https://github.com/shairyar удалил мне OAuth application (Travis CI). То есть он входил в мой аккаунт? Пароль я сбросил. Странно что логов до момента 12 дней назад нету.

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от a1batross

Мне какой то левый чел отозвал 12 дней назад :D Как это работает я не понял

LINUX-ORG-RU ★★★★★
()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 1)
Ответ на: комментарий от LINUX-ORG-RU

Он разраб этого приложения (для трависа). У меня тоже отозвал, хотя я уже давно его засуспендил за ненадобностью.

KillTheCat ★★★★★
()
Ответ на: комментарий от hobbit

GitHub Actions?

Почему нет? И на коленках стоять выпрашивая билдочасы не нужно.

KillTheCat ★★★★★
()
Ответ на: комментарий от KillTheCat

Хм, типа он со своей стороны отозвал, а гитхаб просто пометил что мол вон та сторона отозвала. Типа так? Ну тогда ладно, спасибо ему чё.

В любом случае я так понял из блога гитхаба, злоумышленники выкачивали приватные репы. Как хорошо что мои приватные репы у меня на локалхосте, а то вдруг скачали бы, увидели и от хохота померли попутно избив в кровь лицо фейспалмами =)

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Хотя про секреты травсиса ничего не пишут, на всякий случай отозвал его токены для pypi.

KillTheCat ★★★★★
()
Ответ на: комментарий от hobbit

А какие альтернативы? GitHub Actions?

У меня GitHub Actions триггерится на коммиты и пуллреквесты и делает сборку приложения для разных систем и в разных конфигурациях. Довольно удобная штука.

RussianWarShip
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.