Heroku принудительно сбрасывает пароли пользователей после кражи OAuth-токенов GitHub

Heroku, дочерняя компания Saleforce, признала, что кража OAuth-токенов GitHub привела к несанкционированному доступу к внутренней базе данных клиентов.

В обновленном уведомлении компания сообщила об использовании скомпрометированного токена для взлома базы данных и “кражи хешированных с солью паролей от учетных записей клиентов”.

В связи с этим Salesforce заявила о сбросе всех паролей пользователей Heroku и гарантировала восстановление потенциально затронутых учетных данных. Компания подчеркнула, что внутренние учетные данные Heroku изменены, а команда ввела дополнительные средства для обнаружения угроз.

Атака, обнаруженная GitHub 12 апреля , была связана с использованием украденных токенов доступа OAuth, выданных Heroku и Travis-CI. Воспользовавшись токенами, злоумышленник украл конфиденциальные данные десятков организаций, включая NPM.

По версии GitHub, хронология событий выглядит следующим образом:

• 7 апреля 2022 года - хакер получает доступ к базе данных Heroku и похищает сохраненные токены OAuth, используемые для интеграции GitHub.

• 8 апреля 2022 года - Злоумышленник собирает метаданные о репозиториях клиентов Heroku, используя украденные токены.

• 9 апреля 2022 года - Злоумышленник загружает подмножество частных репозиториев Heroku с GitHub.

На прошлой неделе GitHub назвала атаку целенаправленной , добавив, что хакер разместил список организаций с целью идентификации учетных записей и клонирования частных репозиториев.

После обнаружения атаки, Heroku отозвала все токены доступа и убрала возможность запуска приложений с GitHub через Heroku Dashboard, пока не убедится в безопасности интеграции перед повторным включением функции.