С момента кражи компания отозвала все токены доступа и убрала возможность запуска приложений с GitHub через Heroku Dashboard.
Heroku, дочерняя компания Saleforce, признала, что кража OAuth-токенов GitHub привела к несанкционированному доступу к внутренней базе данных клиентов.
В обновленном уведомлении компания сообщила об использовании скомпрометированного токена для взлома базы данных и “кражи хешированных с солью паролей от учетных записей клиентов”.
В связи с этим Salesforce заявила о сбросе всех паролей пользователей Heroku и гарантировала восстановление потенциально затронутых учетных данных. Компания подчеркнула, что внутренние учетные данные Heroku изменены, а команда ввела дополнительные средства для обнаружения угроз.
Атака, обнаруженная GitHub 12 апреля , была связана с использованием украденных токенов доступа OAuth, выданных Heroku и Travis-CI. Воспользовавшись токенами, злоумышленник украл конфиденциальные данные десятков организаций, включая NPM.
По версии GitHub, хронология событий выглядит следующим образом:
7 апреля 2022 года - хакер получает доступ к базе данных Heroku и похищает сохраненные токены OAuth, используемые для интеграции GitHub.
8 апреля 2022 года - Злоумышленник собирает метаданные о репозиториях клиентов Heroku, используя украденные токены.
9 апреля 2022 года - Злоумышленник загружает подмножество частных репозиториев Heroku с GitHub.
На прошлой неделе GitHub назвала атаку целенаправленной , добавив, что хакер разместил список организаций с целью идентификации учетных записей и клонирования частных репозиториев.
После обнаружения атаки, Heroku отозвала все токены доступа и убрала возможность запуска приложений с GitHub через Heroku Dashboard, пока не убедится в безопасности интеграции перед повторным включением функции.