Hôm thứ Năm, công ty con heroku thuộc sở hữu của Salesforce đã thừa nhận rằng việc đánh cắp mã thông báo OAuth tích hợp GitHub liên quan đến việc truy cập trái phép vào cơ sở dữ liệu khách hàng nội bộ.
Công ty, trong một thông báo cập nhật, đã tiết lộ rằng một mã thông báo bị xâm nhập đã bị lạm dụng để vi phạm cơ sở dữ liệu và “lấy cắp mật khẩu băm và muối cho tài khoản người dùng của khách hàng.”
Do đó, Salesforce cho biết họ đang đặt lại tất cả mật khẩu người dùng Heroku và đảm bảo rằng các thông tin đăng nhập có khả năng bị ảnh hưởng đều được làm mới. Nó cũng nhấn mạnh rằng thông tin đăng nhập Heroku nội bộ đã được luân chuyển và các phát hiện bổ sung đã được đưa ra.
Chiến dịch tấn công mà GitHub phát hiện vào ngày 12 tháng 4, liên quan đến một diễn viên không xác định sử dụng mã thông báo người dùng OAuth bị đánh cắp được cấp cho hai nhà tích hợp OAuth bên thứ ba, Heroku và Travis-CI, để tải xuống dữ liệu từ hàng chục tổ chức, bao gồm cả NPM.
Tiến trình của các sự kiện được chia sẻ bởi nền tảng đám mây như sau:
Ngày 7 tháng 4 năm 2022 – Kẻ đe dọa có được quyền truy cập vào cơ sở dữ liệu Heroku và tải xuống mã thông báo truy cập OAuth của khách hàng được lưu trữ được sử dụng để tích hợp GitHub. Ngày 8 tháng 4 năm 2022 – Kẻ tấn công liệt kê siêu dữ liệu về kho lưu trữ của khách hàng bằng cách sử dụng các mã thông báo bị đánh cắp. Ngày 9 tháng 4 năm 2022 – Kẻ tấn công tải xuống một tập hợp con của kho lưu trữ riêng Heroku từ GitHub
GitHub, tuần trước, mô tả cuộc tấn công là có mục tiêu cao, nói thêm rằng đối thủ là “chỉ liệt kê các tổ chức nhằm xác định các tài khoản để nhắm mục tiêu có chọn lọc để liệt kê và tải xuống các kho lưu trữ cá nhân.”
Heroku kể từ đó đã thu hồi tất cả các mã thông báo truy cập và xóa hỗ trợ triển khai ứng dụng khỏi GitHub thông qua Bảng điều khiển Heroku để chắc chắn rằng “việc tích hợp được bảo mật trước khi chúng tôi bật lại chức năng này”.
.
