Replit: уязвимость могла раскрыть GitHub-токены части пользователей

2 апреля 2023 года Replit обнаружил уязвимость на сайте, которая могла привести к утечке GitHub auth-токенов для менее чем 0,01% пользователей. Проблема была связана с функцией импорта GitHub.

При таких условиях токены могли дать злоумышленнику неавторизованный доступ на чтение и запись ко всем репозиториям пользователя, если при подключении Replit не было ограничено число репозиториев.

В Replit сообщают, что нет признаков того, что скомпрометированные токены были использованы. Уязвимость устранена, все GitHub-токены, связанные с приложением Replit, отозваны, доступ к импорту из GitHub восстановлен.

Масштаб затронутых был ограничен двумя условиями: Repl должен был быть создан через импорт из GitHub, и выполнялось одно из дополнительных условий.

Источник: Replit Blog — April 2 Potential GitHub Credentials Exposure