Η Heroku αποκάλυψε τώρα ότι τα κλεμμένα GitHub integration OAuth tokens από τον περασμένο μήνα οδήγησαν στην παραβίαση μιας εσωτερικής βάσης δεδομένων πελατών.
Η πλατφόρμα cloud που ανήκει στην Salesforce αναγνώρισε ότι το ίδιο παραβιασμένο token χρησιμοποιήθηκε από επιτιθέμενους για να εκμεταλλευτούν τους hashed και salted κωδικούς πρόσβασης των πελατών από “μια βάση δεδομένων”.
Η Heroku εξηγεί την αναγκαστική επαναφορά κωδικού πρόσβασης
Αυτή την εβδομάδα, η Heroku άρχισε να εκτελεί αναγκαστική επαναφορά κωδικών πρόσβασης για ένα υποσύνολο των λογαριασμών χρηστών της μετά το περιστατικό ασφαλείας του περασμένου μήνα, χωρίς να εξηγεί πλήρως το γιατί.
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Ανακαλύψτε το Νέο Ανθρωποειδές Ρομπότ GR-2!
Το βράδυ της Τρίτης, ορισμένοι χρήστες του Heroku έλαβαν email με τίτλο “Heroku security notification – resetting user account passwords on May 4, 2022”, ενημερώνοντας τους χρήστες ότι τα passwords του λογαριασμού τους επαναφέρονταν ως απάντηση στο συμβάν ασφαλείας. Η επαναφορά θα ακύρωνε και όλα τα API access tokens και θα απαιτούσε από τους χρήστες να δημιουργήσουν νέα, εξηγείται στο email.
Το GitHub εντόπισε τη δραστηριότητα στις 12 Απριλίου 2022 και ειδοποίησε τη Salesforce στις 13 Απριλίου 2022, οπότε και ξεκίνησε η Horeku την έρευνα της.
Ωστόσο, το αρχικό περιστατικό ασφαλείας που αναφέρεται αφορούσε απειλητικούς παράγοντες που έκλεψαν OAuth tokens που εκδόθηκαν για την Heroku και την Travis-CI και τα καταχράστηκαν για κάνουν λήψη δεδομένων από ιδιωτικά GitHub repositories που ανήκουν σε δεκάδες οργανισμούς, συμπεριλαμβανομένων των npm.
Δείτε επίσης: NHS: Email accounts υπαλλήλων παραβιάστηκαν και έστελναν phishing μηνύματα
Αυτά τα tokens είχαν χρησιμοποιηθεί νωρίτερα από τις εφαρμογές Travis-CI και Heroku OAuth για ενσωμάτωση με το GitHub για την ανάπτυξη εφαρμογών.
Με την κλοπή αυτών των OAuth tokens, οι απειλητικοί φορείς μπορούσαν να έχουν πρόσβαση και να κατεβάσουν δεδομένα από GitHub repositories που ανήκουν σε εκείνους που εξουσιοδοτούσαν τις παραβιασμένες εφαρμογές Heroku ή Travis CI OAuth με τους λογαριασμούς τους. Σημειώστε ότι η υποδομή, τα συστήματα ή τα ίδια τα ιδιωτικά repositories του GitHub δεν επηρεάστηκαν από το συμβάν.
Ωστόσο, αυτό εξακολουθούσε να μην εξηγεί γιατί η Heroku θα έπρεπε να επαναφέρει ορισμένα user account passwords.
Αποδεικνύεται ότι το παραβιασμένο token για ένα Heroku machine account που αποκτήθηκε από απειλητικούς παράγοντες επέτρεψε και μη εξουσιοδοτημένη πρόσβαση στην εσωτερική βάση δεδομένων λογαριασμών πελατών της Heroku:
«Η έρευνά μας αποκάλυψε ότι το ίδιο παραβιασμένο token χρησιμοποιήθηκε για να αποκτήσει πρόσβαση σε μια βάση δεδομένων και να διεισδύσει τα hashed και salted passwords για τους λογαριασμούς χρηστών των πελατών», εξηγεί η Heroku σε μια ενημερωμένη ειδοποίηση ασφαλείας.
“Για αυτόν τον λόγο, η Salesforce διασφαλίζει ότι όλα τα Heroku user passwords έχουν επαναφερθεί και τα πιθανά επηρεαζόμενα credentials ανανεώνονται. Εναλλάξαμε τα εσωτερικά Heroku credentials και θέσαμε πρόσθετες ανιχνεύσεις. Συνεχίζουμε να διερευνούμε την πηγή της παραβίασης του token.”
Δείτε επίσης: F5: Κρίσιμο bug BIG-IP RCE επιτρέπει το takeover της συσκευής
Ένας αναγνώστης του YCombinator Hacker News ισχυρίστηκε ότι η “βάση δεδομένων” στην οποία αναφέρεται μπορεί να είναι αυτό που κάποτε ονομαζόταν “core-db”.
Ο εν λόγω αναγνώστης φαίνεται να είναι ο Craig Kerstiens της πλατφόρμας PostgreSQL CrunchyData, ο οποίος στο παρελθόν είχε συνεργαστεί με την Heroku.
“Η τελευταία έκθεση αναφέρεται σε “μια βάση δεδομένων” που πιθανώς είναι η εσωτερική βάση δεδομένων”, λέει ο αναγνώστης.
“Δεν θέλω να κάνω πολλές εικασίες, αλλά φαίνεται ότι [ο εισβολέας] είχε πρόσβαση σε εσωτερικά συστήματα. Θα έπρεπε να υπάρχει περισσότερη σαφήνεια στο τι ακριβώς έχει συμβεί.”
Συνιστάται στους χρήστες της Heroku να συνεχίσουν να παρακολουθούν τη σελίδα ειδοποιήσεων ασφαλείας για ενημερώσεις που σχετίζονται με το συμβάν.
Πηγή πληροφοριών: bleepingcomputer.com