GitHubから非公開リポジトリなどのデータが流出
2022年4月22日 18:39
GitHubは15日、OAuthインテグレーターであるHerokuとTravis-CIからに発行されたOAuthユーザートークンが盗まれ、リポジトリのコンテンツを不正にダウンロードされたと発表した。GitHub側は影響を受けたアプリケーションに対し、関連するすべてのOAuthユーザートークンを失効させ、加えてユーザーへ通知する措置を講じたとしている(GitHubブログ、窓の杜)。
同社は13日から14日にかけてHerokuとTravis-CIに調査結果を開示した。これらのアプリを使用していた数十の組織が被害に遭った可能性があるという。4月15日段階で影響を受けるOAuthアプリケーションは以下の通りとなっている。
Heroku Dashboard(ID: 145909) Heroku Dashboard(ID: 628778) Heroku Dashboard - Preview(ID: 313468) Heroku Dashboard - Classic(ID: 363831) Travis CI(ID: 9216)