パスワードを忘れた? アカウント作成
15632934 story
情報漏洩

GitHubから非公開リポジトリなどのデータが流出 13

ストーリー by nagazou
流出 部門より

GitHubは15日、OAuthインテグレーターであるHerokuとTravis-CIからに発行されたOAuthユーザートークンが盗まれ、リポジトリのコンテンツを不正にダウンロードされたと発表した。GitHub側は影響を受けたアプリケーションに対し、関連するすべてのOAuthユーザートークンを失効させ、加えてユーザーへ通知する措置を講じたとしている(GitHubブログ窓の杜)。

同社は13日から14日にかけてHerokuとTravis-CIに調査結果を開示した。これらのアプリを使用していた数十の組織が被害に遭った可能性があるという。4月15日段階で影響を受けるOAuthアプリケーションは以下の通りとなっている。

  • Heroku Dashboard(ID: 145909)
  • Heroku Dashboard(ID: 628778)
  • Heroku Dashboard - Preview(ID: 313468)
  • Heroku Dashboard - Classic(ID: 363831)
  • Travis CI(ID: 9216)
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年04月22日 14時33分 (#4237547)

    元記事からして「GitHubから」と言ってるからしょうがないんだけど、
    これ別にGitHub自体が原因じゃなくて認証基盤使ってるパートナーのやらかしなので
    風評被害が気の毒だなあ、と思ってしまう

    • by Anonymous Coward

      Herokuの対応がクソすぎてな。
      https://status.heroku.com/incidents/2413 [heroku.com]
      実質「GitHub側で何かないか確認してね。何かあったら連絡して。メンゴメンゴ」しか言ってねぇ。

      恐ろしいのはコイツ、Salesforceの傘下なんだよね。
      Salesforce本体やSlackが同じこと起こしても、たぶんきちんと対処しないんじゃね?ってなる。

      • by Anonymous Coward

        GitHubからのデータ流出そのものよりも、Herokuの対応がクソってツイートの方がタイムラインに流れてくる異常事態

        Heroku 完全にダメだと認識したので、勤務先でも Heroku からの脱出を強力に推進していきます、自分達から漏れてるのに「Github から機密情報消すように」とかしか案内できないのは完全に終わってます

        — 女性 (@ssig33) April 19, 2022 [twitter.com]

        • by Anonymous Coward

          GitHubからのデータ流出そのものよりも、Herokuの対応がクソってツイートの方がタイムラインに流れてくる異常事態

          Herokuその他が漏らしたのが原因だしな。連携してなきゃ被害もないわけで。

      • by Anonymous Coward

        隠蔽しそう。。

    • by Anonymous Coward

      でも、外部の認証を利用するだけでリスクが高まるということの、良い啓蒙になったよね。
      アカウントの連携は危険だし、それを使用するWebサービスともなれば、いつ流出しても不思議はないくらいのつもりで利用しないといけない。

    • by Anonymous Coward

      Herokuなんぞ信用する奴が悪い。
      Rubyとかセールスフォースとかは危険信号と思え。

      • by Anonymous Coward

        危険信号ってそんなレベルなのか。
        まだ大丈夫と勘違いするじゃないか。

  • by Anonymous Coward on 2022年04月22日 13時24分 (#4237510)

    勝手にフォークされた!となった場合は訴訟可能なのだろうか?
    流出の懸念が怖いなら自社gitでやっとけよボケェ!と返されるのか。

  • GitHubからトークンが利用可能な形で抽出できたのだとしたら、他のOAuthでも同じこと起きる
    でも実態としては、HerokuとTravis-CIと連携していたリポジトリーだけ
    つまり、アクセスに必要なトークンをお漏らししたのはHerokuとTravis-CI側でしょう

    • by Anonymous Coward

      2箇所から漏れてるとなると、OAuth関連のモジュールかソリューションで何か腐ってるのが有るのかね?
      OAuth周り、暫く要注意かも。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...