Heroku บริษัทในเครือของ Salesforce ถูกขโมย GitHub OAuth tokens ซึ่งเป็นข้อมูลของลูกค้า โดย Token ที่ถูกขโมยออกไปประกอบไปด้วย hashed และ salted passwords ของผู้ใช้งาน
จากปัญหาที่เกิดขึ้น ทาง Salesforce แจ้งว่าได้ทำการ Reset User Password ทั้งหมดของ HEROKU และให้ผู้ใช้งานมั่นใจได้ว่า Credentials ทั้งหมดที่รั่วไหลออกไปจะไม่สามารถนำมาใช้งานได้ และได้เพิ่มมาตรการตรวจสอบด้านความปลอดภัยเพิ่มเติมแล้ว
การโจมตีเกิดขึ้นเมื่อวันที่ 12 เมษายน ซึ่งยังไม่สามารถระบุตัวตนของผู้โจมตีได้ โดยผู้โจมตีได้ทำการขโมย OAuth User Tokens ที่ออกให้กับ 3rd Party OAuth Integator ทั้งหมด 2 กลุ่ม ได้แก่ HEROKU และ TRAVIS-CI เพื่อทำการดาวน์โหลดข้อมูลจากหลาย ๆ องค์กร รวมไปถึง NPM ด้วย
Timeline ของแต่ละเหตุการณ์ที่เกิดขึ้น มีรายละเอียดดังนี้
วันที่ 7 เมษายน 2565 ผู้โจมตีได้เข้าถึงฐานข้อมูลของ HEROKU และทำการดาวน์โหลด OAuth Access Tokens ของลูกค้าที่ใช้สำหรับ GITHUB Integration
วันที่ 8 เมษายน 2565 ผู้โจมตี enumerates หา metadata ที่เกี่ยวข้องกับลูกค้า โดยใช้ Tokens ที่ขโมยมา
วันที่ 9 เมษายน 2565 ผู้โจมตีทำการดาวน์โหลดข้อมูลของ HEROKU จาก GITHUB
ที่มา : thehackernews