Salesforce'a ait Heroku, geçen ayki güvenlik olayına yanıt olarak kullanıcı hesaplarının bir alt kümesinde zorla bir şifre sıfırlaması gerçekleştirirken, neden daha fazla hesaplamanın daha fazla güvence altına alınması gerektiğinden başka bir bilgi sağlamıyor.
Dün gece, bazı Heroku kullanıcıları 'Heroku Güvenlik Bildirimi - 4 Mayıs 2022'de kullanıcı hesabı şifrelerini sıfırlamak' başlıklı e -postalar almaya başladı.
"Güvenliğimizi geliştirme çabalarımızın bir parçası olarak ve status.heroku.com'da yayınlanan bir olaya yanıt olarak, 4 Mayıs 2022'de kullanıcı hesabı şifrelerini sıfırlamaya başlayacağımızı bildirmek istedik," Heroku'ya gönderilen e -postayı okuyun Müşteriler.
Heroku ayrıca, parolayı değiştirmenin tüm API erişim belirteçlerini geçersiz kılacağı ve yeni jetonlar üretilene kadar API'ya dayanan mevcut otomasyon veya uygulamaların artık çalışmamasına neden olacağı konusunda uyardı.
Bu e -posta, tehdit aktörlerinin, NPM de dahil olmak üzere düzinelerce kuruluşa ait özel GitHub depolarından veri indirmek için çalınan OAuth jetonlarını istismar ettikleri bir güvenlik olayı ile ilgilidir.
"12 Nisan'da Github Security, bir saldırganın iki üçüncü taraf OAuth entegratörüne, Heroku ve Travis-Ci'ye verilen çalıntı OAuth kullanıcı jetonlarını istismar ettiğine dair kanıtları ortaya çıkarmaya başladı. .
Bu çalınan jetonlar Travis-CI ve Heroku OAuth uygulamaları tarafından uygulamaları dağıtmak için GitHub ile entegre etmek için kullanıldı.
Bu çalınan OAuth jetonlarını kullanarak, tehdit aktörleri Github depolarından, uzlaşmış Heroku veya Travis CI OAUTH uygulamalarını hesaplarıyla yetkilendirenlere ait verilere erişebilir ve indirebilir.
Heroku güvenlik olayını ilk kez açıkladığında, yetkisiz erişimin tehlikeye atılan OAuth uygulamalarını kullanan hesaplara ait GitHub depolarıyla ilişkili olduğunu belirttiler.
Heroku şimdi şifre sıfırlamalarını zorlarken, müşteriler haklı olarak soruşturmalarının ifşa edilmeyen tehdit aktörleri tarafından daha fazla kötü amaçlı faaliyeti ortaya çıkarmış olabileceğinden endişe duyuyorlar.
E -postalarla ilgili bir YCOMBinator Hacker haberlerinde, müşteriler Heroku'nun saldırı konusunda yeterince şeffaf olmadığına ve müşteriler için daha fazla kafa karıştırıcı yaratmaya inanıyor.
"Bu, tam bir tren enkazına ve müşterilerinizle nasıl iletişim kurmayacağınıza dair bir vaka çalışmasına dönüşüyor."
Başka bir poster, ilk açıklamadan üç hafta sonra ani zorunlu sıfırlamanın, saldırıda Heroku'nun açıkladığından daha fazlası olduğu anlamına geliyor.
Başka bir hacker News, "Kesinlikle üç hafta önce o zamandan beri araştırıyor gibi göründükleri bir ihlal vardı. Yukarıdaki yorumcu gibi, çoğunlukla şu ana kadar toplam şeffaflık eksikliği nedeniyle ifadeleri hakkında güvenle dolu değilim." okuyucu.
Diyerek şöyle devam etti: "Sadece şimdi kredileri döndürmek için ek bildirimler göndermeleri, başlangıçta açıkladıklarından daha büyük bir şeye ipucu veriyorlar, ancak ilk etapta hiç fazla ayrıntı vermedikleri için gerçekten hiçbir fikrimiz yok."
Bu muhabir bir e -posta aldıktan sonra bu olayla ilgili Heroku desteğine ulaştığında, Heroku desteği bana durum yayınlarına atıfta bulunmamı söyledi.
Ancak, bu durum gönderisi, şifre sıfırlamalarının neden yapıldığı hakkında herhangi bir bilgi içermez ve bu konuda destek aracısına bastığımda, destek ekibinin daha fazla bilgiye sahip olmadığı söylendi.
Ayrıca, BleepingComputer'ın Heroku uygulamalarını veya GitHub'ı kullanan herhangi bir OAuth entegrasyonu yoktur, bu da bu şifrelerin sıfırlamalarının başka bir şeyle ilgili olduğunu gösterir.
Heroku, "Bunun sinir bozucu olduğunu ve duymak istediğiniz şey değil, mühendislik ve güvenlik ekiplerimiz mümkün olduğunca çabuk bir çözüme doğru çalışıyor." Dedi.
BleepingComputer ayrıca Şifre Sıfırlama ile ilgili sorularla Heroku’nun basın temasına ulaştı, ancak tekrar duymadı.
Heroku, Cyberattack'ta müşteri kimlik bilgilerinin çalındığını itiraf ediyor
Github: Çalınan Oauth Jetons Düzinelerce Orgs'u ihlal etmeye nasıl yardımcı oldu
GitHub, OAuth Jetons kullanarak çalınan özel depoların sahiplerini bildirir
Github: Saldırgan, çalıntı OAuth Jetonlarını kullanarak düzinelerce orgunu ihlal etti
Bilgisayar korsanları, Rus şirketlerine saldırmak için Conti'nin sızdırılmış fidye yazılımlarını kullanıyor
Kaynak: Bleeping Computer