Heroku機器賬號許可權遭盜用,波及GitHub OAuth許可權與客戶憑證

图片alt

上個月GitHub發現有黑客濫用了授給Heroku及Travis-CI的OAuth用戶許可權,以於GitHub訪問及下載屬於數十個組織的資料,本周四(5/5)Heroku公佈了調查結果,指出黑客盜用了一個Heroku機器賬號的許可權,取得了進入Heroku資料庫的許可權,不僅盜走集成GitHub的OAuth許可權,也訪問了存放客戶憑證的資料庫。

Salesforce在2010年收購的Heroku為一平臺即服務(Platform as a Service,PaaS)供應商,它集結了各種資料服務與生態體系,以讓客戶得以部署與執行現代化程序,標榜是一個以程序為中心的軟體傳送服務,並集成許多熱門的開發者工具及流程,包括Git、GitHub或各種Continuous Integration(CI)系統。

GitHub是在4月12日發現黑客的非法行為,並於隔天通知Salesforce,隨即展開調查的Heroku發現,黑客盜用了一個Heroku機器賬號的許可權,因而得以訪問Heroku資料庫,並下載了存放於該資料庫、集成了GitHub與OAuth的客戶許可權,除了客戶放置於GitHub存儲庫遭到訪問以外,Heroku的GitHub私有存儲庫也遭殃,內置某些Heroku的源碼。

Heroku已於4月16日撤銷所有集成GitHub的OAuth許可權,以阻止客戶通過自動化或Heroku控制台自GitHub部署程序,將在確認安全無虞之後才會重新激活該功能。

除此之外,Heroku的調查也發現黑客也利用同樣的Heroku許可權,訪問了存放客戶賬號資訊的資料庫,內置客戶的加鹽散列密碼。

其實Heroku在發布該完整報告的前一天,便去信要求客戶變更它們Heroku賬號的密碼,還說若客戶未主動變更,Heroku將會執行密碼自動重設功能,但當時Heroku並沒有作出任何解釋,而引起客戶的騷動。

現在則真相大白,原來只是簡單的Heroku機器賬號遭到盜用,就外泄了客戶機密。