Heroku, filiale de Salesforce, a reconnu jeudi que le vol de jetons OAuth d’intégration GitHub impliquait en outre un accès non autorisé à une base de données client interne.
L’entreprise, dans un notification mise à joura révélé qu’un jeton compromis avait été abusé pour violer la base de données et « exfiltrer les mots de passe hachés et salés des comptes d’utilisateurs des clients ».
En conséquence, Salesforce a déclaré qu’il réinitialisait tous les mots de passe des utilisateurs Heroku et s’assurait que les informations d’identification potentiellement affectées étaient actualisées. Il a également souligné que les informations d’identification internes Heroku ont été tournées et que des détections supplémentaires ont été mises en place.
La campagne d’attaque, découverte par GitHub le 12 avril, concernait un acteur non identifié exploitant des jetons d’utilisateur OAuth volés délivrés à deux intégrateurs OAuth tiers, Heroku et Travis-CI, pour télécharger des données de dizaines d’organisations, dont NPM.
La chronologie des événements telle que partagée par la plate-forme cloud est la suivante –
- 7 avril 2022 – L’acteur de la menace obtient l’accès à une base de données Heroku et télécharge les jetons d’accès OAuth client stockés utilisés pour l’intégration GitHub.
- 8 avril 2022 – L’attaquant énumère les métadonnées sur les référentiels client à l’aide des jetons volés.
- 9 avril 2022 – L’attaquant télécharge un sous-ensemble de référentiels privés Heroku depuis GitHub
GitHub, la semaine dernière, a qualifié l’attaque de très ciblée, ajoutant que l’adversaire « ne répertoriait que les organisations afin d’identifier les comptes à cibler de manière sélective pour répertorier et télécharger des référentiels privés ».
Heroku a depuis révoqué tous les jetons d’accès et supprimé la prise en charge du déploiement d’applications à partir de GitHub via le tableau de bord Heroku pour s’assurer que « l’intégration est sécurisée avant de réactiver cette fonctionnalité ».