Heroku réinitialise les mots de passe des utilisateurs après avoir conclu que la cyberattaque d’avril était profonde

Une cyber-attaque récemment révélée contre Heroku impliquant GitHub pourrait être beaucoup plus grave que prévu.

Heroku, la plate-forme d’applications cloud appartenant à Salesforce, a commencé la réinitialisation forcée des mots de passe des utilisateurs le 4 mai.

Dans les premières heures de jeudi (5 mai), Heroku a publié une mise à jour impliquant que les attaquants non encore identifiés ont accédé aux données de sa base de données principale à la suite de l’attaque.

L’incident, précédemment divulgué le 15 avril, a conduit à l’exposition des jetons OAuth d’intégration GitHub. C’était le sujet d’une mise à jour séparée par GitHub la semaine dernière.

EN RELATION GitHub propose un post-mortem sur une récente faille de sécurité

Ces informations d’identification ont été révélées à la suite d’une attaque réussie contre Heroku, alors que la société de cloud computing dernière mise à jour explique :

Le 7 avril 2022, un pirate a eu accès à une base de données Heroku et a téléchargé des jetons OAuth d’intégration GitHub client stockés. L’accès à l’environnement a été obtenu en exploitant un jeton compromis pour un compte de machine Heroku.

Jetons compromis

Les preuves suggèrent que l’attaquant a pu utiliser des métadonnées pour lier les référentiels client avec des jetons OAuth avant que l’attaquant « télécharge un sous-ensemble des référentiels GitHub privés Heroku à partir de GitHub, contenant du code source Heroku ».

Cet élément de l’attaque, qui a eu lieu le 9 avril, a été détecté par GitHub le 12 avril et notifié à Heroku un jour plus tard.

En réponse, Heroku a lancé une enquête qui a rapidement abouti à la « révocation de tous les jetons OAuth d’intégration GitHub, empêchant les clients de déployer des applications à partir de GitHub via le tableau de bord Heroku ou via l’automatisation ».

Dans le dernier développement, l’enquête en cours d’Heroku a révélé que le jeton compromis d’un compte machine Heroku permettait aux attaquants « d’accéder à une base de données et d’exfiltrer les mots de passe hachés et salés des comptes d’utilisateurs des clients ».

Réinitialisation du mot de passe

Cette découverte a précipité la réinitialisation d’un sous-ensemble de mots de passe des clients Heroku cette semaine.

« Salesforce s’assure que tous les mots de passe des utilisateurs Heroku sont réinitialisés et que les informations d’identification potentiellement affectées sont actualisées », a conclu la mise à jour de Heroku.

« Nous avons effectué une rotation des informations d’identification Heroku internes et mis en place des détections supplémentaires. Nous continuons à enquêter sur la source du compromis symbolique.

La gorgée quotidienne a demandé à Heroku de confirmer la cause profonde de la violation et de décrire le nombre de comptes potentiellement touchés. Nous mettrons à jour cette histoire au fur et à mesure que nous aurons plus d’informations.

N’OUBLIEZ PAS DE LIRE L’Inde va introduire une règle de notification de violation de données dans les six heures