Un atacante desconocido ha utilizado tokens OAuth (Open Authentication) robados para descargar datos de "docenas de organizaciones", según ha reconocido GitHub. Estos tokens se usan como un medio (habitualmente) seguro para permitir que la información del usuario pueda usarse en sitios web de terceros.

La compañía, subsidiaria de Microsoft, comenzó a investigar el ataque el pasado día 12, y desde entonces ha descubierto que los tokens comprometidos pertenecen al proveedor de PaaS Heroku, y a Travis CI, un sistema distribuido de integración continua (que hace medio año ya se vio implicado en otro incidente relacionado con datos de acceso).

"No creemos que el atacante haya obtenido estos tokens a través de una violación de los sistemas de GitHub, porque los tokens en cuestión no están almacenados por GitHub en sus formatos originales y utilizables".

"Estamos prácticamente seguros de que los tokens de usuario de las aplicaciones OAuth mantenidas por Heroku y Travis CI fueron robados y utilizados para descargar repositorios privados pertenecientes a docenas de organizaciones que estaban usando estas aplicaciones".

En Xataka

El desafío de superar el usuario/contraseña: alternativas actuales

Una de las organizaciones afectadas fue NPM, el popular repositorio de paquetes NodeJS que es, a su vez, una subsidiaria de GitHub. Según la compañía, el atacante obtuvo acceso no autorizado a repositorios privados de NPM en GitHub.com y los descargó, por no mencionar que podría haber obtenido, potencialmente, acceso a los paquetes …