ニュース
「GitHub」から非公開リポジトリなどのデータが流出 ~「npm」にも被害
「Heroku」「Travis-CI」発行のOAuthトークンが盗難・悪用される
2022年4月20日 15:50
米GitHubは4月15日(現地時間、以下同)、サードパーティのOAuthユーザートークンが盗み出され、リポジトリのコンテンツを不正にダウンロードされたことを発表した。影響を受けたアプリケーションに対しては、関連するすべてのOAuthユーザートークンを失効させ、ユーザーへ通知する措置を講じたという。
同社が問題の発生に気づいたのは、4月12日のこと。セキュリティチームが調査を開始したところ、盗まれたOAuthユーザートークンを悪用し、「npm」を含む数十の組織からデータをダウンロードした形跡が発見されたという。このユーザートークンは、サードパーティのOAuthインテグレーターである「Heroku」と「Travis-CI」により発行されていた・
4月15日時点で、影響を受けることが判明しているOAuthアプリケーションは以下の通り。
- Heroku Dashboard(ID: 145909)
- Heroku Dashboard(ID: 628778)
- Heroku Dashboard - Preview(ID: 313468)
- Heroku Dashboard - Classic(ID: 363831)
- Travis CI(ID: 9216)
「npm」ではプライベートリポジトリへの不正アクセスとダウンロードがあったほか、「AWS S3」ストレージに存在する「npm」パッケージへアクセスされた可能性がある。ただし、現時点ではパッケージの改竄やアカウントデータ・資格情報への不正アクセスは確認されていない。
「GitHub」は問題のトークンをオリジナルの使用可能な形式で保存していないため、トークンが「GitHub」のシステムに侵入して盗んだとは考えにくい。そのため、4月13日と14日に「Heroku」と「Travis-CI」に調査結果を開示し、協力を要請した。被害を受けた組織に対する通知は18日に実施済み。
同社は「Heroku」と「Travis-CI」と密接に連携し、調査および復旧作業を支援し、顧客の保護に努めるとしている。通知のないユーザーは今回のインシデントの影響を受けないと考えられるが、念のため異常なアクティビティがないかチェックすべきだろう。