Offcanvas

보안

깃허브, 유출된 오쓰(OAuth)로 인해 개인 저장소 해킹당했다고 밝혀

2022.04.19 Jon Gold  |  CSO
세일즈포스 산하의 PaaS 업체 헤로쿠(Heroku)와 깃허브(GitHub)에 따르면 손상된 오쓰(OAuth) 사용자 토큰이 헤로쿠와 지속적인 통합 및 테스트 서비스 트래비스 CI(Travis CI)를 쓰는 조직의 개인 리포지토리 데이터를 다운로드하는 데 악용됐다. 
 
ⓒGetty Images

깃허브는 깃허브 시스템 자체가 해킹돼 오쓰 토큰이 유출됐을 가능성은 낮다고 밝혔다. 문제가 된 오쓰 토큰은 깃허브에서 사용 가능한 포맷으로 저장되지 않기 때문이다. 이는 인증을 위해 오쓰 프레임워크를 사용하는 헤로쿠와 트레비스 CI의 애플리케이션에서 가져왔을 가능성이 크다고 회사 측은 설명했다. 4월 15일(현지 시각) 깃허브는 5개의 오쓰 애플리케이션이 영향을 받았다고 전했다. 4가지 버전의 헤로쿠 대시보드(ID 145909, 628778, 313468, 363831)와 트레비스 CI(ID 9261)다. 

세일즈포스는 지난 수요일 깃허브의 통지를 받은 이후 손상된 오쓰 토큰과 해당 토큰의 출처 계정을 비활성화했다고 말했다. 헤로쿠는 공식 블로그에서 “깃허브가 공유한 정보를 바탕으로 위협 행위자가 어떻게 고객 오쓰 토큰에 접근했는지 조사하고 있다”라면서, “손상된 토큰은 위협 행위자에게 고객 깃허브 리포지토리의 액세스 권한을 제공했지만 고객 헤로쿠 계정 액세스 권한은 제공하지 않았을 수 있다”라고 언급했다. 

헤로쿠는 영향을 받은 제품의 사용자에게 데이터 도난의 증거가 있는지 즉시 깃허브 로그를 검토하고, 의심스러운 활동이 감지되면 세일즈포스 보안팀에 연락하라고 촉구했다. 또 문제가 해결될 때까지 헤로쿠로 연결된 애플리케이션은 깃허브 리포지토리에서 연결을 끊고, 노출된 자격증명을 취소하거나 교체해야 한다고 권고했다. 4월 17일 게시된 가장 최근 업데이트에 의하면 세일즈포스는 모든 오쓰 토큰을 해지했다. 세일즈포스에 따르면 토큰 취소는 새 토큰을 발행할 수 있을 때까지 깃허브에서 헤로쿠 대시보드로 새로운 앱을 배포할 수 없다는 것을 의미한다. 

깃허브는 이번 공격이 사용자 계정 데이터나 자격증명에는 액세스하지 않았다고 말했다. 아울러 이 회사는 영향을 받는 것으로 식별된 고객에게 해당 사실을 경고하는 중이라고 전했다. 깃허브는 “위협 행위자의 행동을 분석한 결과 공격자가 (훔친 오쓰 토큰으로 접근해) 다운로드한 개인 리포지토리 콘텐츠를 분석하여 다른 인프라로 피벗하는 데 사용할 수 있는 기밀을 찾을 수도 있다”라고 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.