Il noto portale di code sharing GitHub ha subito un vasto attacco hacker. Gli attaccati hanno sostanzialmente eseguito un data breach, eseguendo il download dei dati e del codice presente all'interno di numerosi repository privati ospitati sui server dell'azienda californiana. La campagna di attacco degli hacker è stata inizialmente individuata dai ricercatori di sicurezza lo scorso 12 aprile. Tale gruppo di attaccanti ha accesso ai contenuti presenti in dozzine di repository sfruttando una serie di chiavi di autenticazione OAuth rubate agli utenti del servizio.
A spiegare in modo molto preciso come sono andati i fatti è Mike Hanley, Chief Security Officer (CSO) di GitHub, in un articolo pubblicato sul blog ufficiale dell'azienda:
"Il 12 aprile, GitHub Security ha avviato un'indagine che ha portato a riscontrare prove inconfutabili di un attacco hacker. Un aggressore ha abusato dei token utente OAuth rubati emessi in passato a due third-party OAuth integrator, Heroku e Travis-CI, per scaricare dati da dozzine di aziende, tra cui anche npm. Non reputiamo possibile che gli attaccanti abbiano ottenuto questi token tramite una compromissione di GitHub o dei suoi sistemi, perché i token in questione non sono archiviati da GitHub nei loro formati originali.
In seguito ad un analisi generale dell'intera piattaforma GitHub, siamo abbastanza sicuri che i token utente OAuth compromessi da Heroku e le applicazioni OAuth mantenute da Travis-CI siano stati rubati ed utilizzati in modo improprio per scaricare i dati dei repository privati appartenenti ad utenti ed imprese che utilizzano queste applicazioni."
Non appena il team di sicurezza di GitHub ha capito cosa stava succedendo ed ha identificato con precisione quali fossero i token OAuth rubati dagli hacker sono state adottate tutte le contromisure del caso per proteggere l'integrità dei dati degli utenti del servizio. Inoltre GitHub ha contattato direttamente Heroku e Travis-CI per richiedere di avviare le proprie indagini di sicurezza e revocare tutti i token utente OAuth associati alle applicazioni interessate da manomissioni e furti.