Heroku fuerza el restablecimiento de la contraseña del usuario después del robo del token OAuth de GitHub


La subsidiaria propiedad de Salesforce, Heroku, reconoció el jueves que el robo de tokens OAuth de integración de GitHub involucró además el acceso no autorizado a una base de datos interna de clientes.

La empresa, en un notificación actualizadareveló que se abusó de un token comprometido para violar la base de datos y “exfiltrar las contraseñas cifradas y saladas de las cuentas de usuario de los clientes”.

Como consecuencia, Salesforce dijo que está restableciendo todas las contraseñas de los usuarios de Heroku y asegurando que se actualicen las credenciales potencialmente afectadas. También enfatizó que las credenciales internas de Heroku se rotaron y se implementaron detecciones adicionales.

La campaña de ataque, que GitHub descubrió el 12 de abril, estaba relacionada con un actor no identificado que aprovechaba tokens de usuario de OAuth robados emitidos a dos integradores de OAuth de terceros, Heroku y Travis-CI, para descargar datos de docenas de organizaciones, incluido NPM.

La línea de tiempo de los eventos compartidos por la plataforma en la nube es la siguiente:

  • 7 de abril de 2022 – El actor de amenazas obtiene acceso a una base de datos de Heroku y descarga los tokens de acceso de OAuth del cliente almacenados que se utilizan para la integración de GitHub.
  • 8 de abril de 2022 – El atacante enumera los metadatos sobre los repositorios de los clientes utilizando los tokens robados.
  • 9 de abril de 2022 – El atacante descarga un subconjunto de repositorios privados de Heroku desde GitHub

GitHub, la semana pasada, caracterizó el ataque como altamente dirigido y agregó que el adversario “solo enumeraba organizaciones para identificar cuentas a las que apuntar selectivamente para enumerar y descargar repositorios privados”.

Desde entonces, Heroku revocó todos los tokens de acceso y eliminó la compatibilidad con la implementación de aplicaciones de GitHub a través del Panel de Heroku para asegurarse de que “la integración sea segura antes de que volvamos a habilitar esta funcionalidad”.



ttn-es-57