Anak perusahaan milik Salesforce Heroku pada hari Kamis mengakui bahwa pencurian token OAuth integrasi GitHub selanjutnya melibatkan akses tidak sah ke database pelanggan internal.
Perusahaan, dalam pemberitahuan yang diperbarui, mengungkapkan bahwa token yang dikompromikan disalahgunakan untuk menembus basis data dan “mengeksfiltrasi kata sandi hash dan asin untuk akun pengguna pelanggan.”
Akibatnya, Salesforce mengatakan sedang mengatur ulang semua kata sandi pengguna Heroku dan memastikan bahwa kredensial yang berpotensi terpengaruh diperbarui. Itu juga menekankan bahwa kredensial Heroku internal diputar dan deteksi ekstra telah diterapkan.
Kampanye serangan, yang ditemukan GitHub pada 12 April, terkait dengan aktor tak dikenal yang memanfaatkan token pengguna OAuth curian yang dikeluarkan untuk dua integrator OAuth pihak ketiga, Heroku dan Travis-CI, untuk mengunduh data dari lusinan organisasi, termasuk NPM.
Garis waktu peristiwa yang dibagikan oleh platform cloud adalah sebagai berikut –
- 7 April 2022 – Aktor ancaman memperoleh akses ke database Heroku dan mengunduh token akses OAuth pelanggan yang disimpan yang digunakan untuk integrasi GitHub.
- 8 April 2022 – Penyerang menghitung metadata tentang repositori pelanggan menggunakan token yang dicuri.
- 9 April 2022 – Penyerang mengunduh sebagian dari repositori pribadi Heroku dari GitHub
GitHub, minggu lalu, mengkarakterisasi serangan itu sebagai sangat bertarget, menambahkan bahwa musuhnya “hanya mendaftarkan organisasi untuk mengidentifikasi akun yang secara selektif ditargetkan untuk mendaftar dan mengunduh repositori pribadi.”
Heroku telah mencabut semua token akses dan menghapus dukungan untuk menyebarkan aplikasi dari GitHub melalui Dasbor Heroku untuk memastikan bahwa “integrasi aman sebelum kami mengaktifkan kembali fungsi ini.”