Heroku начала принудительно сбрасывать пароли пользователей после кражи OAuth-токенов GitHub

Информационная безопасность Open source GitHub
Heroku, которая принадлежит Saleforce, признала , что из-за кражи OAuth-токенов GitHub злоумышленники получили несанкционированный доступ к внутренней базе данных клиентов. В связи с этим компания решила сбросить все пароли пользователей Heroku и гарантировала восстановление потенциально затронутых учётных данных. Сброс приведет к аннулированию всех токенов доступа к API и потребует от пользователей создания новых, поясняется в электронном письме. Saleforce сообщает, что скомпрометированный токен использовали для взлома базы данных и кражи хешированных паролей от учетных записей клиентов. Компания заявила, что внутренние учётные данные Heroku изменили, а также внедрили дополнительные средства для обнаружения угроз. Атаку обнаружили на GitHub 12 апреля. В ходе неё злоумышленники использовали украденные токены доступа OAuth, выданные Heroku и Travis-CI. В итоге они украли конфиденциальные данные десятков организаций, включая NPM. По версии GitHub, 7 апреля хакер получил доступ к базе данных Heroku и похитил сохранённые токены OAuth, используемые для интеграции GitHub. 8 апреля он собрал метаданные о репозиториях клиентов Heroku, используя украденные токены, а на следующий день загрузил подмножество частных репозиториев Heroku с GitHub. GitHub называл атаку целенаправленной, так как хакер разместил список организаций с целью идентификации учетных записей и клонирования частных репозиториев. Читатель YCombinator Крейг Керстинс из платформы PostgreSQL CrunchyData, который ранее был связан с Heroku, предположил, что упомянутая «база данных» может быть тем, что когда-то называлось «core-db». Он предположил, что злоумышленник имел доступ к внутренним системам Heroku.  В итоге Heroku отозвала все токены доступа и убрала возможность запуска приложений с GitHub через Heroku Dashboard, пока не убедится в безопасности интеграции перед повторным включением функции.)
Теги:
Хабы: