Heroku признава, че идентификационните данни на клиента са били откраднати при кибератака

Heroku разкри, че откраднатите OAuth токени за интеграция на GitHub от миналия месец допълнително са довели до компрометиране на вътрешна клиентска база данни.

Притежаваната от Salesforce облачна платформа призна, че нападателите са използвали същия компрометиран токен, за да извлекат хеширани и осолени клиентски пароли от „база данни“.

Актуализацията на Heroku идва, след като BleepingComputer се свърза със Salesforce вчера.

Подобно на много потребители, ние неочаквано получихме имейл за нулиране на паролата от Heroku, въпреки че BleepingComputer няма никаква OAuth интеграция, която използва приложения Heroku или GitHub. Това показва, че тези нулирани пароли са свързани с нещо друго.

Heroku обяснява принудителното нулиране на паролата

Тази седмица Heroku започна да извършва принудително нулиране на парола за подмножество от своите потребителски акаунти след инцидента със сигурността от миналия месец, без да обяснява напълно защо.

Във вторник вечерта някои потребители на Heroku получиха имейли, озаглавени „Уведомление за сигурност на Heroku: Възстановяване на паролата на потребителския акаунт 4 май 2022 г.“, информиращи потребителите, че паролите на техните акаунти се нулират в отговор на инцидент със сигурността. Нулирането също ще направи невалидни всички токени за достъп до API и ще изисква от потребителите да генерират нови, обяснява имейлът.

Но споменатият първоначален инцидент със сигурността включва заплахи, които крадат OAuth токени, издадени на Heroku и Travis-CI, и ги злоупотребяват, за да изтеглят данни от частни хранилища на GitHub, принадлежащи на десетки организации, включително npm.

„На 12 април GitHub Security стартира разследване, което разкри доказателства, че нападател е злоупотребявал с откраднати потребителски токени на OAuth, издадени на двама интегратори на OAuth трети страни, Heroku и Travis-CI, за да изтегли данни от десетки организации, включително npm“, каза GitHub. . предварително разкрита.

Тези токени преди са били използвани от приложенията Travis-CI и Heroku OAuth за интегриране с GitHub за внедряване на приложения.

Чрез кражба на тези OAuth токени, участниците в заплахата могат да получат достъп и да изтеглят данни от хранилища на GitHub, принадлежащи на онези, които са упълномощили компрометираните Heroku или Travis CI OAuth приложения със своите акаунти. Моля, имайте предвид, че частната инфраструктура, системи или хранилища на GitHub не бяха засегнати от инцидента.

Но това все още не обяснява защо Heroku ще трябва да нулира някои пароли за потребителски акаунти досега.

Оказва се, че компрометираният токен за акаунт на Heroku машина, получен от участници в заплахата, също позволява неоторизиран достъп до вътрешната база данни на Heroku с клиентски акаунти:

„Нашето разследване разкри също, че същият компрометиран токен е бил използван за получаване на достъп до база данни и изтичане на солени и криптирани пароли на потребителски акаунти на клиенти“, обяснява Heroku в актуализирано известие за сигурност.

„Поради тази причина Salesforce гарантира, че всички потребителски пароли на Heroku са нулирани и потенциално засегнатите идентификационни данни са актуализирани. Ние сменихме вътрешните идентификационни данни на Heroku и внедрихме допълнителни откривания. Продължаваме да разследваме източника на компрометирането на токена.“ .

Читател на YCombinator Hacker News твърди, че посочената “база данни” може да е това, което някога се е наричало “core-db”.

Въпросният читател е Крейг Керстийнс на платформата PostgreSQL CrunchyData, която преди това беше свързана с Heroku.

„Последният доклад показва „една база данни“, която вероятно е вътрешната база данни“, казва Керстиенс.

„Не искам да спекулирам твърде много, но изглежда [the attacker] имаше достъп до вътрешни системи. GitHub бяха тези, които го забелязаха и забелязаха и докладваха на Heroku. Не съм съгласен, че трябва да има повече яснота, но е по-добре да проследите това със Salesforce.”

BleepingComputer се свърза с Kerstiens, който потвърди, че е написал тези коментари.

Клиентите наричат ​​неясното разкриване „влакова катастрофа“

Първоначалното разкриване от Heroku на инцидента със сигурността показва, че неоторизираният достъп е бил свързан с хранилища на GitHub, принадлежащи на акаунти, използващи компрометирани OAuth токени от Heroku.

„Компрометираните токени могат да осигурят на заплахата достъп до хранилищата на GitHub на клиента, но не и до акаунтите в Heroku на клиента“, заяви по-рано компанията.

Но имейлите за нулиране на паролата основателно предизвикаха опасения сред клиентите, че разследването на Heroku може да е разкрило повече злонамерена дейност от страна на заплахите, които останаха неразкрити.

Някои читатели на YCombinator Hacker News нарекоха разкритието „пълна влакова катастрофа и казус за това как да не общувате с клиентите си“.

В стремежа си да бъде по-прозрачен с общността, Heroku хвърли малко светлина върху инцидента, който започна преди няколко часа.

„Ние ценим прозрачността и разбираме, че нашите клиенти търсят по-задълбочено разбиране на въздействието на този инцидент и нашия отговор към днешна дата“, казва Хероку.

Освен това облачната платформа заяви, че след работа с GitHub, доставчици на разузнаване на заплахи, партньори в индустрията и правоприлагащи органи по време на разследването, тя е достигнала точка, в която може да се споделя повече информация, без да се компрометира текущото разследване:

„На 7 април 2022 г. заплахата получи достъп до база данни на Heroku и изтегли съхранени токени за интеграция на GitHub OAuth на клиента. Достъпът до средата беше получен чрез използване на компрометиран токен за акаунт на машина Heroku Според GitHub, заплахата започна да изброява метаданни за клиентски хранилища с изтеглените OAuth токени на 8 април 2022 г. На 9 април 2022 г. нападателят изтегли подмножество от частни хранилища на Heroku на GitHub от GitHub., които съдържаха част от изходния код на Heroku.

GitHub идентифицира дейността на 12 април 2022 г. и уведоми Salesforce на 13 април 2022 г., когато започнахме нашето разследване. В резултат на това на 16 април 2022 г. отменихме всички OAuth токени за интеграция на GitHub, което попречи на клиентите да внедряват GitHub приложения през таблото за управление на Heroku или чрез автоматизация. Оставаме ангажирани да гарантираме, че интеграцията е сигурна, преди да активираме повторно тази функционалност.”

За разлика от тях, друг интегратор на трета страна, Travis-CI, разкри работния ден след първоначалното уведомление на GitHub, че инцидентът не е засегнал клиентските данни.

Потребителите на Heroku се насърчават да продължат да наблюдават страницата за известия за сигурност за актуализации, свързани с инцидента.

Актуализация, 5 май 2022 г. 09:30 ч. ET: Потвърждаваме, че читателят, цитиран в статията, е Kerstiens.

Add Comment