Roban repositorios de GitHub comprometidos por 'tokens' OAuth

El proveedor de PaaS Heroku, propiedad de Salesforce, y GitHub han advertido que los tokens de usuario OAuth comprometidos probablemente se utilizaron para descargar datos privados de las organizaciones que utilizan Heroku y el servicio de integración y pruebas continuas Travis CI, según declaraciones emitidas a finales de la semana pasada.

Es poco probable que el propio GitHub se haya visto comprometido, según la publicación del blog del omnipresente repositorio de código fuente, ya que los tokens OAuth en cuestión no son almacenados por GitHub en formatos utilizables, y es más probable que hayan sido tomados de las aplicaciones de Heroku y Travis CI que utilizan el marco OAuth para la autenticación.

GitHub dijo el viernes que cinco aplicaciones OAuth específicas fueron afectadas: cuatro versiones de Heroku Dashboard, y Travis CI (IDs 145909, 628778, 313468, 363831 y 9261).

Salesforce ha explicado que, una vez notificado por GitHub el pasado miércoles, se desactivaron los tokens OAuth comprometidos y la cuenta de la que procedían.

"Según la información que GitHub ha compartido con nosotros, estamos investigando cómo el actor de la amenaza obtuvo acceso a los tokens OAuth de los clientes", ha señalado la publicación del blog oficial de Heroku. "Los tokens comprometidos podrían proporcionar al actor de la amenaza acceso a los repos de GitHub del cliente, pero no a las cuentas de Heroku del cliente".

Heroku instó a los usuarios de los productos afectados a revisar inmediatamente sus registros de GitHub en busca de cualquier evidencia de robo de datos, y a ponerse en contacto con el equipo de seguridad de Salesforce si se detecta una actividad sospechosa. Además, hasta que se resuelva el problema, las aplicaciones conectadas a Heroku deben desconectarse de los repositorios de GitHub, y revocar o rotar cualquier credencial expuesta. La actualización más reciente de la compañía sobre el problema, publicada el domingo, indicaba que Salesforce aún no ha completado la revocación de todos los tokens OAuth, pero que se está trabajando en el proceso.

Los repositorios de GitHub no se verán afectados, según Salesforce, pero la revocación de los tokens significará que el despliegue de nuevas aplicaciones desde GitHub al panel de control de Heroku no funcionará hasta que se puedan emitir nuevos tokens.

La evaluación de GitHub es que no se accedió a los datos o credenciales de las cuentas de los usuarios en el ataque. La compañía dijo que está en el proceso de alertar a los clientes que ha identificado como afectados, y se hizo eco de la llamada de Salesforce para una revisión inmediata de todos los registros de auditoría y aplicaciones OAuth.

"Nuestro análisis de otros comportamientos del actor de la amenaza sugiere que los actores pueden estar minando el contenido del repositorio privado descargado, al que tenía acceso el token OAuth robado, en busca de secretos que podrían utilizarse para pasar a otra infraestructura", dijo GitHub.