[ad_1]
A Heroku agora revelou que os tokens OAuth de integração do GitHub roubados do mês passado levaram ao comprometimento de um banco de dados interno do cliente.
A plataforma de nuvem de propriedade da Salesforce reconheceu que os invasores usaram o mesmo token comprometido para vazar senhas de clientes criptografadas e salgadas de “um banco de dados”.
A atualização do Heroku vem depois que a BleepingComputer entrou em contato com a Salesforce ontem.
Como muitos usuários, recebemos inesperadamente um e-mail de redefinição de senha do Heroku, embora o BleepingComputer não tenha nenhuma integração OAuth que use aplicativos Heroku ou GitHub. Isso indicava que essas redefinições de senha estavam relacionadas a outra coisa.
Heroku explica redefinições forçadas de senha
Esta semana, a Heroku começou a realizar redefinições forçadas de senha para um subconjunto de suas contas de usuário após o incidente de segurança do mês passado, sem explicar completamente o porquê.
Na noite de terça-feira, alguns usuários do Heroku receberam e-mails intitulados “Notificação de segurança do Heroku: redefinição de senha da conta de usuário em 4 de maio de 2022”, informando aos usuários que as senhas de suas contas estavam sendo redefinidas em resposta a incidentes de segurança. A redefinição também invalidaria todos os tokens de acesso à API e exigiria que os usuários gerassem novos, explicou o e-mail.
Mas, o incidente de segurança original mencionado envolveu agentes de ameaças roubando tokens OAuth emitidos para Heroku e Travis-CI e abusando deles para baixar dados de repositórios privados do GitHub pertencentes a dezenas de organizações, incluindo npm.
“Em 12 de abril, o GitHub Security lançou uma investigação que descobriu evidências de que um invasor abusou de tokens de usuário OAuth roubados emitidos para dois integradores OAuth de terceiros, Heroku e Travis-CI, para baixar dados de dezenas de organizações, incluindo npm”, disse o GitHub. . anteriormente divulgado.
Esses tokens foram usados anteriormente pelos aplicativos Travis-CI e Heroku OAuth para integração com o GitHub para implantar aplicativos.
Ao roubar esses tokens OAuth, os agentes de ameaças podem acessar e baixar dados de repositórios do GitHub pertencentes àqueles que autorizaram os aplicativos Heroku ou Travis CI OAuth comprometidos com suas contas. Observe que a infraestrutura, os sistemas ou os repositórios privados do GitHub não foram afetados pelo incidente.
Mas isso ainda não explicava por que o Heroku precisaria redefinir algumas senhas de contas de usuário, até agora.
Acontece que o token comprometido para uma conta de máquina Heroku obtido por agentes de ameaças também permitiu acesso não autorizado ao banco de dados interno de contas de clientes da Heroku:
“Nossa investigação também revelou que o mesmo token comprometido foi aproveitado para obter acesso a um banco de dados e vazar as senhas salgadas e criptografadas das contas de usuário do cliente”, explica Heroku em uma notificação de segurança atualizada.
“Por esse motivo, o Salesforce garante que todas as senhas de usuário do Heroku sejam redefinidas e as credenciais potencialmente afetadas sejam atualizadas. Rotacionamos as credenciais internas do Heroku e implementamos detecções adicionais. Continuamos investigando a origem do comprometimento do token.”
Um leitor do YCombinator Hacker News alegou que o “banco de dados” referenciado pode ser o que já foi chamado de “core-db”.
O leitor em questão é craig kerstiens da plataforma PostgreSQL CrunchyData, que anteriormente era afiliada à Heroku.
“O relatório mais recente indica sobre ‘um banco de dados’ que é presumivelmente o banco de dados interno”, diz Kerstiens.
“Não quero especular muito, mas parece [the attacker] tinha acesso a sistemas internos. GitHub foram os únicos a identificá-lo e notá-lo e denunciá-lo ao Heroku. Não discordo que deveria haver mais clareza, mas é melhor acompanhar a Salesforce sobre isso.”
A BleepingComputer entrou em contato com Kerstiens, que confirmou ter escrito esses comentários.
Clientes chamam divulgação vaga de ‘destruição de trem’
A divulgação original da Heroku do incidente de segurança indicou que o acesso não autorizado estava relacionado a repositórios do GitHub pertencentes a contas usando tokens OAuth comprometidos da Heroku.
“Os tokens comprometidos podem fornecer ao agente da ameaça acesso aos repositórios GitHub do cliente, mas não às contas Heroku do cliente”, afirmou a empresa anteriormente.
Mas os e-mails de redefinição de senha levantaram legitimamente preocupações entre os clientes de que a investigação da Heroku poderia ter descoberto mais atividades maliciosas de agentes de ameaças que não foram divulgadas.
Alguns leitores do YCombinator Hacker News chamaram a divulgação de “um desastre completo e um estudo de caso sobre como não se comunicar com seus clientes”.
Em sua busca para ser mais transparente com a comunidade, Heroku lançou alguma luz sobre o incidente que começou há algumas horas.
“Valorizamos a transparência e entendemos que nossos clientes estão buscando uma compreensão mais profunda do impacto desse incidente e nossa resposta até o momento”, diz Heroku.
A plataforma em nuvem afirmou ainda que, depois de trabalhar com o GitHub, provedores de inteligência de ameaças, parceiros do setor e autoridades durante a investigação, chegou a um ponto em que mais informações poderiam ser compartilhadas sem comprometer a investigação em andamento:
O GitHub identificou a atividade em 12 de abril de 2022 e notificou a Salesforce em 13 de abril de 2022, quando começamos nossa investigação. Como resultado, em 16 de abril de 2022, revogamos todos os tokens OAuth de integração do GitHub, que impediam os clientes de implantar aplicativos do GitHub por meio do painel Heroku ou por meio da automação. Continuamos comprometidos em garantir que a integração seja segura antes de reativar essa funcionalidade.”
Por outro lado, outro integrador terceirizado, Travis-CI, divulgou no dia útil seguinte à notificação original do GitHub que o incidente não afetou os dados do cliente.
Os usuários do Heroku são incentivados a continuar monitorando a página de notificação de segurança para atualizações relacionadas ao incidente.
Atualização, 5 de maio de 2022 09:30 ET: Confirmamos que o leitor citado no artigo é Kerstiens.
[ad_2]
