Heroku admite que las credenciales de los clientes fueron robadas en un ciberataque

Heroku ahora ha revelado que los tokens OAuth de integración de GitHub robados del mes pasado llevaron aún más al compromiso de una base de datos interna de clientes.

La plataforma en la nube, propiedad de Salesforce, reconoció que los atacantes utilizaron el mismo token comprometido para filtrar las contraseñas cifradas y saladas de los clientes de "una base de datos".

La actualización de Heroku llega después de que BleepingComputer se comunicó ayer con Salesforce.

Al igual que muchos usuarios, inesperadamente recibimos un correo electrónico de restablecimiento de contraseña de Heroku, a pesar de que BleepingComputer no tiene ninguna integración de OAuth que use las aplicaciones de Heroku o GitHub. Esto indicó que estos restablecimientos de contraseña estaban relacionados con otro asunto.

Índice de contenidos
  1. Heroku explica los restablecimientos de contraseña forzados
  2. Los clientes llaman a la divulgación vaga un 'choque de trenes'

Heroku explica los restablecimientos de contraseña forzados

Esta semana, Heroku comenzó a realizar restablecimientos de contraseña forzados para un subconjunto de sus cuentas de usuario después del incidente de seguridad del mes pasado, sin explicar completamente por qué.

El martes por la noche, algunos usuarios de Heroku recibieron correos electrónicos titulados "Notificación de seguridad de Heroku: restablecimiento de contraseñas de cuentas de usuario el 4 de mayo de 2022", informando a los usuarios que las contraseñas de sus cuentas se estaban restableciendo en respuesta al incidente de seguridad. El reinicio también invalidaría todos los tokens de acceso a la API y requeriría que los usuarios generen nuevos, explicó el correo electrónico.

Pero, el incidente de seguridad original al que se hace referencia involucró a actores de amenazas que robaron tokens OAuth emitidos a Heroku y Travis-CI y abusaron de estos para descargar datos de repositorios privados de GitHub pertenecientes a docenas de organizaciones, incluida npm.

"El 12 de abril, GitHub Security inició una investigación que descubrió evidencia de que un atacante abusó de tokens de usuario de OAuth robados emitidos a dos integradores de OAuth de terceros, Heroku y Travis-CI, para descargar datos de docenas de organizaciones, incluida npm", dijo GitHub. divulgado previamente.

Estos tokens habían sido utilizados anteriormente por las aplicaciones Travis-CI y Heroku OAuth para integrarse con GitHub para implementar aplicaciones.

Al robar estos tokens de OAuth, los actores de amenazas podrían acceder y descargar datos de los repositorios de GitHub pertenecientes a quienes autorizaron las aplicaciones Heroku o Travis CI OAuth comprometidas con sus cuentas. Tenga en cuenta que la infraestructura, los sistemas o los repositorios privados de GitHub no se vieron afectados por el incidente.

Pero eso aún no explicaba por qué Heroku necesitaría restablecer algunas contraseñas de cuentas de usuario, hasta ahora.

Resulta que el token comprometido para una cuenta de máquina Heroku obtenida por actores de amenazas también permitió el acceso no autorizado a la base de datos interna de cuentas de clientes de Heroku:

"Nuestra investigación también reveló que el mismo token comprometido se aprovechó para obtener acceso a una base de datos y filtrar las contraseñas codificadas y saladas de las cuentas de usuario de los clientes", explica Heroku en una notificación de seguridad actualizada.

"Por esta razón, Salesforce se asegura de que se restablezcan todas las contraseñas de los usuarios de Heroku y se actualicen las credenciales potencialmente afectadas. Hemos rotado las credenciales internas de Heroku y hemos implementado detecciones adicionales. Seguimos investigando el origen del compromiso del token".

Un lector de YCombinator Hacker News alegó que la "base de datos" a la que se hace referencia podría ser lo que alguna vez se llamó "core-db".

El lector en cuestión es craig kerstiens de la plataforma PostgreSQL CrunchyData, que anteriormente estuvo afiliado a Heroku.

"El informe más reciente indica sobre 'una base de datos' que presumiblemente es la base de datos interna", dice Kerstiens.

"No quiero especular demasiado, pero parece [the attacker] tenía acceso a los sistemas internos. GitHub fueron los que lo detectaron y notaron e informaron a Heroku. No estoy en desacuerdo con que debería haber más claridad, pero es mejor hacer un seguimiento con Salesforce al respecto".

BleepingComputer contactó a Kerstiens, quien confirmó haber escrito estos comentarios.

Los clientes llaman a la divulgación vaga un 'choque de trenes'

La divulgación original de Heroku sobre el incidente de seguridad indicó que el acceso no autorizado se había relacionado con repositorios de GitHub pertenecientes a cuentas que usaban tokens OAuth comprometidos de Heroku.

"Los tokens comprometidos podrían proporcionar al actor de amenazas acceso a los repositorios de GitHub del cliente, pero no a las cuentas de Heroku del cliente", había declarado anteriormente la compañía.

Pero los correos electrónicos de restablecimiento de contraseña despertaron legítimamente la preocupación entre los clientes de que la investigación de Heroku podría haber descubierto más actividades maliciosas por parte de los actores de amenazas que no se revelaron.

Algunos lectores de YCombinator Hacker News calificaron la divulgación como "un completo choque de trenes y un estudio de caso sobre cómo no comunicarse con sus clientes".

En su búsqueda por ser más transparente con la comunidad, Heroku ha arrojado algo de luz sobre el incidente que comenzó hace unas horas.

"Valoramos la transparencia y entendemos que nuestros clientes buscan una comprensión más profunda del impacto de este incidente y nuestra respuesta hasta la fecha", dice Heroku.

La plataforma en la nube declaró además que después de trabajar con GitHub, los proveedores de inteligencia de amenazas, los socios de la industria y las fuerzas del orden público durante la investigación, había llegado a un punto en el que se podía compartir más información sin comprometer la investigación en curso:

"El 7 de abril de 2022, un actor de amenazas obtuvo acceso a una base de datos de Heroku y descargó tokens OAuth de integración de GitHub del cliente almacenados. El acceso al entorno se obtuvo aprovechando un token comprometido para una cuenta de máquina de Heroku. Según GitHub, el actor de amenazas comenzó enumerando metadatos sobre los repositorios de clientes con los tokens OAuth descargados el 8 de abril de 2022. El 9 de abril de 2022, el atacante descargó un subconjunto de los repositorios privados de GitHub de Heroku desde GitHub, que contenía parte del código fuente de Heroku.

GitHub identificó la actividad el 12 de abril de 2022 y notificó a Salesforce el 13 de abril de 2022, momento en el que comenzamos nuestra investigación. Como resultado, el 16 de abril de 2022, revocamos todos los tokens de OAuth de integración de GitHub, lo que impidió que los clientes implementaran aplicaciones de GitHub a través del panel de Heroku o mediante la automatización. Seguimos comprometidos a garantizar que la integración sea segura antes de volver a habilitar esta funcionalidad".

Por el contrario, otro integrador externo, Travis-CI, reveló el día hábil siguiente a la notificación original de GitHub que el incidente no había afectado los datos de los clientes.

Se recomienda a los usuarios de Heroku que continúen monitoreando la página de notificación de seguridad para obtener actualizaciones relacionadas con el incidente.

Actualización, 5 de mayo de 2022 09:30 a. m. ET: Confirmamos que el lector citado en el artículo es Kerstiens.

Descubre más contenido

Subir Change privacy settings