Heroku начала принудительно сбрасывать пароли пользователей после кражи OAuth-токенов GitHub
Heroku, которая принадлежит Saleforce, признала, что из-за кражи OAuth-токенов GitHub злоумышленники получили несанкционированный доступ к внутренней базе данных клиентов. В связи с этим компания решила сбросить все пароли пользователей Heroku и гарантировала восстановление потенциально затронутых учетных данных. Сброс приведет к аннулированию всех токенов доступа к API и потребует от пользователей создания новых, поясняется в электронном письме.
Saleforce сообщает, что скомпрометированный токен использовали для взлома базы данных и кражи хешированных с солью паролей от учетных записей клиентов.
Компания заявила, что внутренние учетные данные Heroku изменили, а также внедрили дополнительные средства для обнаружения угроз.
Атаку обнаружили на GitHub 12 апреля. В ходе нее злоумышленники использовали украденные токены доступа OAuth, выданные Heroku и Travis-CI. В итоге они украли конфиденциальные данные десятков организаций, включая NPM.
По версии GitHub, 7 апреля хакер получил доступ к базе данных Heroku и похитил сохраненные токены OAuth, используемые для интеграции GitHub. 8 апреля он собрал метаданные о репозиториях клиентов Heroku, используя украденные токены, а на следующий день загрузил подмножество частных репозиториев Heroku с GitHub.
GitHub называл атаку целенаправленной, так как хакер разместил список организаций с целью идентификации учетных записей и клонирования частных репозиториев.
Читатель YCombinator Крейг Керстинс из платформы PostgreSQL CrunchyData, который ранее был связан с Heroku, предположил, что упомянутая «база данных» может быть тем, что когда-то называлось «core-db». Он предположил, что злоумышленник имел доступ к внутренним системам Heroku.
В итоге Heroku отозвала все токены доступа и убрала возможность запуска приложений с GitHub через Heroku Dashboard, пока не убедится в безопасности интеграции перед повторным включением функции.
