GitHub는 월요일에 Heroku와 Travis CI가 관리하는 타사 OAuth 사용자 토큰을 이용하여 개인 저장소 콘텐츠를 다운로드하는 무단 당사자와 관련된 공격 캠페인의 모든 피해자에게 통지했다고 언급했습니다. 회사 는 업데이트된 게시물에서 "고객은 또한 영향을 받는 OAuth 애플리케이션에 대한 자체 조사에 대한 업데이트를 위해 Heroku 및 Travis CI를 계속 모니터링해야 합니다." 라고 말했습니다. 이 사건 은 4월 12일 GitHub에서 악의적인 행위자가 Heroku 및 Travis-CI에 발급된 도난당한 OAuth 사용자 토큰을 활용하여 NPM을 포함한 수십 개의 조직에서 데이터를 다운로드했다는 징후를 발견했을 때 처음 밝혀졌습니다. 마이크로소프트가 소유한 플랫폼은 또한 진행중인 조사에서 추가 피해자가 확인되면 즉시 고객에게 알릴 것이라고 말했다. 또한 공격자가 다른 공격에 사용될 수 있는 비밀 저장소를 파헤칠 수도 있다고 경고했습니다. 사건 이후 GitHub ...
원문링크 : GitHub, OAuth 토큰을 사용하여 개인 데이터에 액세스한 피해자에게 알림