Tokens de GitHub y GitLab OAuth robados por piratas informáticos para obtener acceso no autorizado

Hackers desconocidos robaron tokens OAuth de GitHub y GitLab, de Waydev, Dave.com y Flood.io para obtener acceso no autorizado a las bases de códigos de sus clientes. GitHub ha advertido a pocos usuarios del acceso malicioso a su código fuente a través de tokens OAuth robados.

Los piratas informáticos obtienen acceso no autorizado a los códigos fuente de los clientes

Las empresas y los desarrolladores almacenan su código trabajado en repositorios privados en GitHub o GitLab, para continuar desarrollando más tarde o compartir con solo unos pocos usuarios autorizados. Pero con un token de OAuth, cualquiera puede acceder a sus repositorios privados.

El token OAuth es un token estándar abierto utilizado por servicios de terceros para compartir el acceso a sus datos con otros. Aquí, si los tokens de OAuth generados por GitHub y GitLab se comparten con alguien, se les permite ver y modificar los datos presentados en esa cuenta específica. Waydev, una compañía de análisis que rastrea el resultado de un ingeniero de software mediante el análisis de sus bases de código basadas en Git, fue violada a principios de este mes.

La violación del 3 de julio llevó a los piratas informáticos a robar los tokens de OAuth, que Waydev recibió de GitHub y GitLab a través del permiso del usuario. Estos tokens son utilizados posteriormente por piratas informáticos para obtener acceso a los repositorios de GitHub de sus usuarios afectados (clientes), que contenían trabajos privados confidenciales.

El cofundador y CEO de Waydev, Alex Circei, dijo ZDNet ya que los piratas informáticos explotaron una vulnerabilidad de inyección SQL ciega en Waydev, que les dio acceso a la base de datos donde la empresa almacena todos los tokens OAuth de sus clientes. La empresa entonces tiene remendado este agujero, revocó el acceso a las cuentas e informó a las autoridades estadounidenses pertinentes. Además, la empresa también ha tomado medidas como;

  • Monitoreando toda la actividad,
  • Reportó el incidente a las autoridades,
  • Acceso manual: ahora es imposible crear una cuenta sin nuestra aprobación.
  • equipo de seguridad, y
  • Los tokens se reinician dos veces al día.