La plate-forme d’applications cloud Heroku a confirmé que le récent incident de cybersécurité, au cours duquel des jetons OAuth d’intégration GitHub ont été volés, a entraîné d’autres compromis et s’est soldé par le vol des informations d’identification des clients.
Après une certaine pression de la part de la communauté, pour clarifier davantage l’incident et la raison pour laquelle elle a commencé à envoyer des e-mails de réinitialisation de mot de passe à ses clients, la société appartenant à Salesforce a confirmé que les jetons compromis étaient utilisés, par des acteurs de fil inconnus, pour obtenir des informations hachées et mots de passe salés, appartenant à ses clients, issus « d’une base de données ».
« Pour cette raison, Salesforce s’assure que tous les mots de passe des utilisateurs Heroku sont réinitialisés et que les informations d’identification potentiellement affectées sont actualisées. Nous avons fait pivoter les informations d’identification Heroku internes et mis en place des détections supplémentaires. un avis de sécurité.
Bases de données internes
La base de données à laquelle Heroku fait référence, selon une personne précédemment affiliée à l’entreprise, est très probablement « core-db », BipOrdinateur trouvé.
Commentant l’actualité, Craig Kerstiens de la plate-forme PostgreSQL CrunchyData, a déclaré : « Le dernier rapport parle d' »une base de données » qui est vraisemblablement la base de données interne. Je ne veux pas trop spéculer, mais il semble [the attacker] avaient accès aux systèmes internes. C’est GitHub qui l’a détecté et remarqué et l’a signalé à Heroku. Ne contestez pas le fait qu’il devrait y avoir plus de clarté, mais il est préférable de faire un suivi avec Salesforce à ce sujet. »
Mais les mots de passe volés pourraient finir par être la moindre des préoccupations d’Heroku, car la communauté a vivement critiqué la façon dont l’entreprise a géré l’incident et comment elle a communiqué avec ses utilisateurs et ses clients. Après l’incident initial, le 12 avril, la société a commencé à forcer la réinitialisation des mots de passe pour certains de ses comptes d’utilisateurs, sans expliquer pleinement ce qui s’était passé.
Après presque trois semaines, Heroku a donné une explication complète, que certains lecteurs de YCombinator Hacker News ont décrite comme « un accident de train complet et une étude de cas sur la façon de ne pas communiquer avec vos clients ».
Via : BleepingComputer