GitHubから非公開リポジトリなどのデータが流出 13
ストーリー by nagazou
流出 部門より
流出 部門より
GitHubは15日、OAuthインテグレーターであるHerokuとTravis-CIからに発行されたOAuthユーザートークンが盗まれ、リポジトリのコンテンツを不正にダウンロードされたと発表した。GitHub側は影響を受けたアプリケーションに対し、関連するすべてのOAuthユーザートークンを失効させ、加えてユーザーへ通知する措置を講じたとしている(GitHubブログ、窓の杜)。
同社は13日から14日にかけてHerokuとTravis-CIに調査結果を開示した。これらのアプリを使用していた数十の組織が被害に遭った可能性があるという。4月15日段階で影響を受けるOAuthアプリケーションは以下の通りとなっている。
- Heroku Dashboard(ID: 145909)
- Heroku Dashboard(ID: 628778)
- Heroku Dashboard - Preview(ID: 313468)
- Heroku Dashboard - Classic(ID: 363831)
- Travis CI(ID: 9216)
「GitHubから」 (スコア:1)
元記事からして「GitHubから」と言ってるからしょうがないんだけど、
これ別にGitHub自体が原因じゃなくて認証基盤使ってるパートナーのやらかしなので
風評被害が気の毒だなあ、と思ってしまう
Re: (スコア:0)
Herokuの対応がクソすぎてな。
https://status.heroku.com/incidents/2413 [heroku.com]
実質「GitHub側で何かないか確認してね。何かあったら連絡して。メンゴメンゴ」しか言ってねぇ。
恐ろしいのはコイツ、Salesforceの傘下なんだよね。
Salesforce本体やSlackが同じこと起こしても、たぶんきちんと対処しないんじゃね?ってなる。
Re: (スコア:0)
GitHubからのデータ流出そのものよりも、Herokuの対応がクソってツイートの方がタイムラインに流れてくる異常事態
Re: (スコア:0)
GitHubからのデータ流出そのものよりも、Herokuの対応がクソってツイートの方がタイムラインに流れてくる異常事態
Herokuその他が漏らしたのが原因だしな。連携してなきゃ被害もないわけで。
Re: (スコア:0)
隠蔽しそう。。
Re: (スコア:0)
でも、外部の認証を利用するだけでリスクが高まるということの、良い啓蒙になったよね。
アカウントの連携は危険だし、それを使用するWebサービスともなれば、いつ流出しても不思議はないくらいのつもりで利用しないといけない。
Re: (スコア:0)
Herokuなんぞ信用する奴が悪い。
Rubyとかセールスフォースとかは危険信号と思え。
Re: (スコア:0)
危険信号ってそんなレベルなのか。
まだ大丈夫と勘違いするじゃないか。
非公開リポジトリから流出して (スコア:0)
勝手にフォークされた!となった場合は訴訟可能なのだろうか?
流出の懸念が怖いなら自社gitでやっとけよボケェ!と返されるのか。
Re: (スコア:0)
だからVSSにしとけとあれほど
Re: (スコア:0)
RCS最強説
リポジトリーの情報はGitHubだけどトークンはHeroku側だよね (スコア:0)
GitHubからトークンが利用可能な形で抽出できたのだとしたら、他のOAuthでも同じこと起きる
でも実態としては、HerokuとTravis-CIと連携していたリポジトリーだけ
つまり、アクセスに必要なトークンをお漏らししたのはHerokuとTravis-CI側でしょう
Re: (スコア:0)
2箇所から漏れてるとなると、OAuth関連のモジュールかソリューションで何か腐ってるのが有るのかね?
OAuth周り、暫く要注意かも。