Недавно обнаруженная уязвимость в GitHub позволяет злоумышленникам похищать токены доступа OAuth всего за одно взаимодействие с пользователем. Это ставит под угрозу учетные записи и данные разработчиков, а также любые проекты или сервисы, зависящие от платформы. Последствия для обычных пользователей очевидны: повседневные приложения могут быть скомпрометированы, если не обновить меры безопасности.
Технический механизм атаки на токены 🔐
Ошибка использует то, как GitHub обрабатывает запросы аутентификации OAuth. Злоумышленник может создать вредоносную ссылку, при нажатии на которую авторизуется мошенническое приложение без ведома пользователя. Токен доступа отправляется напрямую злоумышленнику, предоставляя ему контроль над репозиториями, ключами SSH и личными данными. Немедленное решение — проверить и отозвать нераспознанные приложения OAuth в настройках учетной записи.
Клик, который стоит больше тысячи коммитов 🖱️
Выходит, что один клик может нанести больше вреда, чем дюжина багов в продакшене. Пока одни разработчики беспокоятся о слиянии веток, оказывается, что защищать нужно было собственный указательный палец. В следующий раз, увидев подозрительную ссылку, помните: неосторожный клик может превратить ваш репозиторий в игровую площадку для киберпреступников. Обновляйте, отзывайте и не доверяйте.