Heroku在GitHub OAuth令牌被盗后强制重置用户密码

Salesforce旗下子公司Heroku周四承认，GitHub integration OAuth代币被盗进一步涉及未经授权访问内部客户数据库。

该公司在一份最新通知中透露，一个被泄露的令牌被滥用，以破坏数据库并“过滤客户用户帐户的散列和盐渍密码”

因此，Salesforce表示，正在重置所有Heroku用户密码，并确保刷新可能受影响的凭据。它还强调，内部Heroku证书已轮换，并已实施额外的检测。

GitHub于4月12日发现的此次攻击活动涉及一名身份不明的参与者，利用向两个第三方OAuth集成商Heroku和Travis CI发行的被盗OAuth用户令牌，从数十个组织（包括NPM）下载数据。

云平台共享的事件时间表如下-

• April 7, 2022-Threat actor获得对Heroku数据库的访问权，并下载存储的用于GitHub集成的客户OAuth访问令牌。
• April 8, 2022-攻击者使用被盗的令牌枚举有关客户存储库的元数据。
• April 9, 2022-攻击者从GitHub下载Heroku私有存储库的子集

上周，GitHub称此次网络安全攻击具有高度的针对性，并补充道，对手“只是列出组织，以便确定有选择地列出和下载私有存储库的目标帐户。”

Heroku已经撤销了所有访问令牌，并取消了通过Heroku仪表板从GitHub部署应用程序的支持，以确定“在重新启用此功能之前，集成是安全的”