Perşembe günü Salesforce’a ait yan kuruluş Heroku, GitHub entegrasyonu OAuth belirteçlerinin çalınmasının ayrıca dahili bir müşteri veritabanına yetkisiz erişimi içerdiğini kabul etti.
Şirket, bir güncellenmiş bildirimgüvenliği ihlal edilmiş bir jetonun veritabanını ihlal etmek ve “müşterilerin kullanıcı hesapları için karma ve tuzlanmış şifreleri sızdırmak” için kötüye kullanıldığını ortaya çıkardı.
Sonuç olarak Salesforce, tüm Heroku kullanıcı şifrelerini sıfırladığını ve potansiyel olarak etkilenen kimlik bilgilerinin yenilenmesini sağladığını söyledi. Ayrıca, dahili Heroku kimlik bilgilerinin döndürüldüğünü ve ekstra algılamaların yerleştirildiğini vurguladı.
GitHub’ın 12 Nisan’da keşfettiği saldırı kampanyası, NPM dahil düzinelerce kuruluştan veri indirmek için iki üçüncü taraf OAuth entegratörüne, Heroku ve Travis-CI’ye verilen çalıntı OAuth kullanıcı belirteçlerinden yararlanan kimliği belirsiz bir aktörle ilgiliydi.
Bulut platformu tarafından paylaşılan olayların zaman çizelgesi aşağıdaki gibidir:
- 7 Nisan 2022 – Tehdit aktörü, bir Heroku veritabanına erişim elde eder ve GitHub entegrasyonu için kullanılan depolanmış müşteri OAuth erişim belirteçlerini indirir.
- 8 Nisan 2022 – Saldırgan, çalınan jetonları kullanarak müşteri havuzları hakkında meta verileri sıralar.
- 9 Nisan 2022 – Saldırgan GitHub’dan Heroku özel depolarının bir alt kümesini indirir
Geçen hafta GitHub, saldırıyı yüksek oranda hedeflenmiş olarak nitelendirdi ve rakibin “özel depoları listelemek ve indirmek için seçici olarak hedeflenecek hesapları belirlemek için yalnızca kuruluşları listelemek” olduğunu ekledi.
O zamandan beri Heroku, “biz bu işlevi yeniden etkinleştirmeden önce entegrasyonun güvenli olduğundan” emin olmak için GitHub’dan Heroku Dashboard aracılığıyla uygulama dağıtmak için tüm erişim belirteçlerini iptal etti ve desteği kaldırdı.
