Heroku admet que les informations d’identification de ses clients ont été volées lors d’une cyberattaque

Heroku a maintenant révélé que les jetons OAuth d’intégration GitHub volés le mois dernier ont en outre conduit à la compromission d’une base de données client interne.

La plate-forme cloud appartenant à Salesforce a reconnu que les attaquants utilisaient le même jeton compromis pour extraire les mots de passe client hachés et salés d’une “base de données”.

La mise à jour Heroku intervient après que BleepingComputer a contacté Salesforce hier.

Comme de nombreux utilisateurs, nous avons reçu de manière inattendue un e-mail de réinitialisation de mot de passe de Heroku, même si BleepingComputer n’a aucune intégration OAuth qui utilise les applications Heroku ou GitHub. Cela indiquait que ces réinitialisations de mot de passe étaient liées à autre chose.

Heroku explique les réinitialisations forcées de mot de passe

Cette semaine, Heroku a commencé à effectuer des réinitialisations forcées de mot de passe pour un sous-ensemble de ses comptes d’utilisateurs après l’incident de sécurité du mois dernier, sans expliquer pleinement pourquoi.

Mardi soir, certains utilisateurs d’Heroku ont reçu des e-mails intitulés “Heroku Security Notification : User Account Password Reset May 4, 2022”, informant les utilisateurs que les mots de passe de leur compte étaient en cours de réinitialisation en réponse à un incident de sécurité. La réinitialisation invaliderait également tous les jetons d’accès à l’API et obligerait les utilisateurs à en générer de nouveaux, a expliqué l’e-mail.

Mais, l’incident de sécurité d’origine référencé impliquait des acteurs de la menace volant des jetons OAuth délivrés à Heroku et Travis-CI et les abusant pour télécharger des données à partir de référentiels GitHub privés appartenant à des dizaines d’organisations, y compris npm.

“Le 12 avril, GitHub Security a lancé une enquête qui a révélé des preuves qu’un attaquant avait abusé de jetons d’utilisateur OAuth volés délivrés à deux intégrateurs OAuth tiers, Heroku et Travis-CI, pour télécharger des données de dizaines d’organisations, y compris npm”, a déclaré GitHub. . précédemment divulgué.

Ces jetons étaient auparavant utilisés par les applications Travis-CI et Heroku OAuth pour s’intégrer à GitHub afin de déployer des applications.

En volant ces jetons OAuth, les acteurs de la menace pourraient accéder et télécharger des données à partir des référentiels GitHub appartenant à ceux qui ont autorisé les applications Heroku ou Travis CI OAuth compromises avec leurs comptes. Veuillez noter que l’infrastructure, les systèmes ou les référentiels privés de GitHub n’ont pas été affectés par l’incident.

Mais cela n’expliquait toujours pas pourquoi Heroku aurait besoin de réinitialiser certains mots de passe de compte d’utilisateur, jusqu’à présent.

Il s’avère que le jeton compromis d’un compte machine Heroku obtenu par des pirates permettait également un accès non autorisé à la base de données interne des comptes clients d’Heroku :

“Notre enquête a également révélé que le même jeton compromis a été utilisé pour accéder à une base de données et divulguer les mots de passe salés et cryptés des comptes d’utilisateurs des clients”, explique Heroku dans une notification de sécurité mise à jour.

“Pour cette raison, Salesforce s’assure que tous les mots de passe des utilisateurs Heroku sont réinitialisés et que les informations d’identification potentiellement affectées sont mises à jour. Nous avons effectué une rotation des informations d’identification Heroku internes et mis en œuvre des détections supplémentaires. Nous continuons à rechercher la source de la compromission du jeton.” .

Un lecteur de YCombinator Hacker News a allégué que la “base de données” référencée pourrait être ce qu’on appelait autrefois “core-db”.

Le lecteur en question est craig kerstiens de la plate-forme PostgreSQL CrunchyData, qui était auparavant affiliée à Heroku.

“Le rapport le plus récent indique environ ‘une base de données’ qui est vraisemblablement la base de données interne”, explique Kerstiens.

“Je ne veux pas trop spéculer, mais il semble [the attacker] avaient accès aux systèmes internes. C’est GitHub qui l’a repéré, remarqué et signalé à Heroku. Je ne conteste pas le fait qu’il devrait y avoir plus de clarté, mais il est préférable de faire un suivi avec Salesforce à ce sujet.”

BleepingComputer a contacté Kerstiens, qui a confirmé avoir écrit ces commentaires.

Les clients appellent une vague divulgation un “accident de train”

La divulgation initiale par Heroku de l’incident de sécurité indiquait que l’accès non autorisé était lié à des référentiels GitHub appartenant à des comptes utilisant des jetons OAuth compromis d’Heroku.

“Des jetons compromis pourraient fournir à l’auteur de la menace un accès aux référentiels GitHub du client, mais pas aux comptes Heroku du client”, avait précédemment déclaré la société.

Mais les e-mails de réinitialisation de mot de passe ont légitimement soulevé des inquiétudes parmi les clients selon lesquelles l’enquête d’Heroku aurait pu découvrir d’autres activités malveillantes d’acteurs malveillants qui n’ont pas été divulguées.

Certains lecteurs de YCombinator Hacker News ont qualifié la divulgation “d’épave de train complète et d’étude de cas sur la façon de ne pas communiquer avec vos clients”.

Dans sa quête d’être plus transparent avec la communauté, Heroku a fait la lumière sur l’incident qui a commencé il y a quelques heures.

“Nous apprécions la transparence et comprenons que nos clients recherchent une compréhension plus approfondie de l’impact de cet incident et de notre réponse à ce jour”, déclare Heroku.

La plate-forme cloud a en outre déclaré qu’après avoir travaillé avec GitHub, des fournisseurs de renseignements sur les menaces, des partenaires de l’industrie et les forces de l’ordre au cours de l’enquête, elle avait atteint un point où davantage d’informations pouvaient être partagées sans compromettre l’enquête en cours :

“Le 7 avril 2022, un acteur malveillant a eu accès à une base de données Heroku et a téléchargé des jetons OAuth d’intégration GitHub client stockés. L’accès à l’environnement a été obtenu en exploitant un jeton compromis pour un compte de machine Heroku. Selon GitHub, l’acteur menaçant a commencé à répertorier métadonnées sur les référentiels clients avec les jetons OAuth téléchargés le 8 avril 2022. Le 9 avril 2022, l’attaquant a téléchargé un sous-ensemble des référentiels GitHub privés d’Heroku à partir de GitHub, qui contenait une partie du code source Heroku.

GitHub a identifié l’activité le 12 avril 2022 et a notifié Salesforce le 13 avril 2022, date à laquelle nous avons commencé notre enquête. Par conséquent, le 16 avril 2022, nous avons révoqué tous les jetons OAuth d’intégration GitHub, ce qui empêchait les clients de déployer des applications GitHub via le tableau de bord Heroku ou via l’automatisation. Nous restons déterminés à nous assurer que l’intégration est sécurisée avant de réactiver cette fonctionnalité.”

En revanche, un autre intégrateur tiers, Travis-CI, a révélé le jour ouvrable suivant la notification initiale de GitHub que l’incident n’avait pas affecté les données des clients.

Les utilisateurs de Heroku sont encouragés à continuer à surveiller la page de notification de sécurité pour les mises à jour liées à l’incident.

Mise à jour, 5 mai 2022 09h30 HE : Nous confirmons que le lecteur cité dans l’article est Kerstiens.

Add Comment