Salesforce-dochteronderneming Heroku erkende donderdag dat de diefstal van GitHub-integratie OAuth-tokens verder gepaard ging met ongeautoriseerde toegang tot een interne klantendatabase.
Het bedrijf, in een bijgewerkte meldingonthulde dat een gecompromitteerd token werd misbruikt om de database te doorbreken en “de gehashte en gezouten wachtwoorden voor gebruikersaccounts van klanten te exfiltreren”.
Als gevolg hiervan zei Salesforce dat het alle Heroku-gebruikerswachtwoorden opnieuw instelt en ervoor zorgt dat mogelijk betrokken inloggegevens worden vernieuwd. Het benadrukte ook dat interne Heroku-inloggegevens zijn geroteerd en dat er extra detecties zijn ingesteld.
De aanvalscampagne, die GitHub op 12 april ontdekte, had betrekking op een niet-geïdentificeerde actor die gebruikmaakte van gestolen OAuth-gebruikerstokens die waren uitgegeven aan twee externe OAuth-integrators, Heroku en Travis-CI, om gegevens te downloaden van tientallen organisaties, waaronder NPM.
De tijdlijn van gebeurtenissen zoals gedeeld door het cloudplatform is als volgt:
- 7 april 2022 – Threat actor krijgt toegang tot een Heroku-database en downloadt opgeslagen OAuth-toegangstokens van klanten die worden gebruikt voor GitHub-integratie.
- 8 april 2022 – Aanvaller somt metadata op over klantrepositories met behulp van de gestolen tokens.
- 9 april 2022 – Aanvaller downloadt een subset van Heroku-privérepositories van GitHub
GitHub, vorige week, karakteriseerde de aanval als zeer gericht, en voegde eraan toe dat de tegenstander “alleen organisaties op de lijst zette om accounts te identificeren om selectief te targeten voor het aanbieden en downloaden van privé-repositories.”
Heroku heeft sindsdien alle toegangstokens ingetrokken en ondersteuning verwijderd voor het implementeren van apps van GitHub via het Heroku-dashboard om er zeker van te zijn dat “de integratie veilig is voordat we deze functionaliteit opnieuw inschakelen”.
