Github 安全警告: 從 Heroku/Travis-CI 應用中偷取 OAuth

Github 可以搭配一些外部網站來達成更多功能,而 Heroku 跟 Travis-CI 這些基於 OAuth 認證的功能,目前有人在擷取這些 OAuth 認證來下載一些私有的 repository 。
目前 Github 有聯絡 Heroku 跟 Travis-CI,並取消這些 OAuth Token,還有寄信被影響的人。
那他們還會繼續觀察還有啥被影響的,如果要更詳細的內容可以參考該部落格。

1個讚

沒想到這個會影響這麼久
Incident 2413 | Heroku Status
目前 Heroku pipeline 還是不能用
但目前 Heroku 更改完所有密碼後,並無可疑登入紀錄
環境變數方面,攻擊者雖然可以得到加密後的資訊,但沒辦法得到解密用的鑰匙來解密

1個讚