Bulut uygulama platformu Heroku, GitHub entegrasyonu OAuth belirteçlerinin çalındığı son siber güvenlik olayının daha fazla uzlaşmaya yol açtığını ve müşteri kimlik bilgilerinin çalınmasıyla sonuçlandığını doğruladı.
Topluluğun, olayla ilgili daha fazla netlik sağlamak ve neden müşterilerine parola sıfırlama e-postaları göndermeye başladığını sağlamak için yaptığı bir miktar baskıdan sonra, Salesforce’un sahibi olduğu şirket, güvenliği ihlal edilen belirteçlerin bilinmeyen iş parçacığı aktörleri tarafından karma elde etmek için kullanıldığını doğruladı ve müşterilerine ait tuzlu şifreleri “bir veri tabanından” almaktadır.
“Bu nedenle Salesforce, tüm Heroku kullanıcı şifrelerinin sıfırlanmasını ve potansiyel olarak etkilenen kimlik bilgilerinin yenilenmesini sağlıyor. Dahili Heroku kimlik bilgilerini değiştirdik ve ek algılamaları devreye soktuk. Belirteç güvenliğinin ihlal edilmesinin kaynağını araştırmaya devam ediyoruz” dedi. bir güvenlik tavsiyesi.
Dahili veritabanları
Daha önce şirkete bağlı bir kişiye göre Heroku’nun bahsettiği veritabanı büyük olasılıkla “core-db”, BleeBilgisayar bulundu.
Haber hakkında yorum yapan PostgreSQL platformu CrunchyData’dan Craig Kerstiens şunları söyledi: “Son rapor, muhtemelen dahili veritabanı olan bir ‘veritabanından’ bahsediyor. Çok fazla spekülasyon yapmak istemiyorum ama öyle görünüyor. [the attacker] iç sistemlere erişimi vardı. GitHub, onu algılayan ve fark eden ve Heroku’ya bildirenlerdi. Daha fazla netlik olması gerektiğine katılmayın, ancak bunu Salesforce ile takip etmek en iyisidir.”
Ancak topluluk, şirketin olayı nasıl ele aldığını ve kullanıcıları ve müşterileriyle nasıl iletişim kurduğunu sesli olarak eleştirdiği için çalınan şifreler, Heroku’nun endişelerinin en küçüğü olabilir. İlk olaydan sonra, 12 Nisan’da şirket, ne olduğunu tam olarak açıklamadan bazı kullanıcı hesapları için şifre sıfırlamalarını zorlamaya başladı.
Neredeyse üç hafta sonra Heroku, YCombinator Hacker News’deki bazı okuyucuların “tam bir tren kazası ve müşterilerinizle nasıl iletişim kurmamanız gerektiğine dair bir vaka çalışması” olarak tanımladığı tam bir açıklama yaptı.
Aracılığıyla: BleeBilgisayar
