Réinitialisation du mot de passe utilisateur Heroku Forces Heroku, filiale de Salesforce, a reconnu jeudi que le vol de jetons OAuth d’intégration GitHub impliquait en outre un accès non autorisé à une base de données client interne. La société, dans une notification mise à jour, a révélé qu’un jeton compromis avait été abusé pour violer la base de données et « exfiltrer les mots de passe hachés et salés des comptes d’utilisateurs des clients ». En conséquence, Salesforce a déclaré qu’il réinitialisait tous les mots de passe des utilisateurs Heroku et s’assurait que les informations d’identification potentiellement affectées étaient actualisées. Il a également souligné que les informations d’identification internes Heroku ont été tournées et que des détections supplémentaires ont été mises en place. La campagne d’attaque, découverte par GitHub le 12 avril, concernait un acteur non identifié exploitant des jetons d’utilisateur OAuth volés délivrés à deux intégrateurs OAuth tiers, Heroku et Travis-CI, pour télécharger des données de dizaines d’organisations, dont NPM. La chronologie des événements telle que partagée par la plate-forme cloud est la suivante – 7 avril 2022 – L’auteur de la menace obtient l’accès à une base de données Heroku et télécharge les jetons d’accès OAuth client stockés utilisés pour l’intégration GitHub. 8 avril 2022 – L’attaquant énumère les métadonnées sur les référentiels client à l’aide des jetons volés. 9 avril 2022 – L’attaquant télécharge un sous-ensemble de référentiels privés Heroku depuis GitHub GitHub, la semaine dernière, a qualifié l’attaque de très ciblée, ajoutant que l’adversaire « ne répertoriait que les organisations afin d’identifier les comptes à cibler de manière sélective pour répertorier et télécharger des référentiels privés ». Heroku a depuis révoqué tous les jetons d’accès et supprimé la prise en charge du déploiement d’applications à partir de GitHub via le tableau de bord Heroku pour s’assurer que « l’intégration est sécurisée avant de réactiver cette fonctionnalité ». Mise à jour : Heroku, dans une alerte de suivi, a déclaré vendredi qu’il avait effectué les « réinitialisations de mot de passe nécessaires » et qu’il n’avait trouvé aucune preuve d’accès non autorisé à ses systèmes après le 14 avril 2022. Il a également déclaré qu’il prévoyait de rétablir Intégration GitHub « dans les prochaines semaines ». « Bien que nous ayons confirmé que l’acteur de la menace avait accès aux secrets client Heroku chiffrés stockés dans config var, les secrets sont chiffrés au repos et l’acteur de la menace n’a pas accédé à la clé de chiffrement nécessaire pour déchiffrer les secrets de la config var », a noté la société.