La subsidiaria propiedad de Salesforce, Heroku, reconoció el jueves que el robo de tokens OAuth de integración de GitHub involucró además el acceso no autorizado a una base de datos interna de clientes.
La empresa, en un notificación actualizadareveló que se abusó de un token comprometido para violar la base de datos y “exfiltrar las contraseñas cifradas y saladas de las cuentas de usuario de los clientes”.
Como consecuencia, Salesforce dijo que está restableciendo todas las contraseñas de los usuarios de Heroku y asegurando que se actualicen las credenciales potencialmente afectadas. También enfatizó que las credenciales internas de Heroku se rotaron y se implementaron detecciones adicionales.
La campaña de ataque, que GitHub descubrió el 12 de abril, estaba relacionada con un actor no identificado que aprovechaba tokens de usuario de OAuth robados emitidos a dos integradores de OAuth de terceros, Heroku y Travis-CI, para descargar datos de docenas de organizaciones, incluido NPM.
La línea de tiempo de los eventos compartidos por la plataforma en la nube es la siguiente:
- 7 de abril de 2022 – El actor de amenazas obtiene acceso a una base de datos de Heroku y descarga los tokens de acceso de OAuth del cliente almacenados que se utilizan para la integración de GitHub.
- 8 de abril de 2022 – El atacante enumera los metadatos sobre los repositorios de los clientes utilizando los tokens robados.
- 9 de abril de 2022 – El atacante descarga un subconjunto de repositorios privados de Heroku desde GitHub
GitHub, la semana pasada, caracterizó el ataque como altamente dirigido y agregó que el adversario “solo enumeraba organizaciones para identificar cuentas a las que apuntar selectivamente para enumerar y descargar repositorios privados”.
Desde entonces, Heroku revocó todos los tokens de acceso y eliminó la compatibilidad con la implementación de aplicaciones de GitHub a través del Panel de Heroku para asegurarse de que “la integración sea segura antes de que volvamos a habilitar esta funcionalidad”.