GitHub通知使用OAuth令牌访问其私有数据的受害者

GitHub周一表示，它已通知所有受害者一次攻击活动，其中涉及未经授权的一方利用Heroku和Travis CI维护的第三方OAuth用户令牌下载私有存储库内容。

该公司在最新发布的帖子中表示：“客户还应继续监控Heroku和Travis CI，以了解他们自己对受影响的OAuth应用程序的调查的最新情况。”。

这起事件最初于4月12日曝光，当时GitHub发现有迹象表明，一名恶意参与者利用偷来的OAuth用户令牌（发给Heroku和Travis CI）从数十个组织下载数据，包括NPM。

微软拥有的平台还表示，如果正在进行的调查发现了其他受害者，它将立即提醒客户。此外，它还警告说，对手可能也在挖掘存储库中可能用于其他攻击的秘密。

Heroku在事件发生后支持GitHub集成，建议用户可以选择将其应用程序部署与Git或GitLab或Bitbucket等其他版本控制提供商集成。

托管的持续集成服务提供商Travis CI在周一发布的一份类似咨询中表示，它已“吊销了所有阻止进一步访问我们系统的授权密钥和令牌。”

该公司表示没有暴露任何客户数据，并承认网络安全攻击者违反了Heroku服务，访问了用于集成Heroku和Travis CI应用程序的私有应用程序的OAuth密钥。

但Travis CI重申，没有发现任何入侵私人客户存储库的证据，也没有发现威胁参与者获得了不正当的源代码访问。

该公司表示：“鉴于我们拥有的数据，出于谨慎，Travis CI撤销并重新发布了所有将Travis CI与GitHub集成的私人客户身份验证密钥和令牌，以确保客户数据不受损害。”。