Heroku, propriété de Salesforce, effectue une réinitialisation forcée du mot de passe sur un sous-ensemble de comptes d’utilisateurs en réponse à l’incident de sécurité du mois dernier tout en ne fournissant aucune information sur la raison pour laquelle ils le font, à part en mentionnant vaguement qu’il s’agit de sécuriser davantage les comptes.
Hier soir, certains utilisateurs de Heroku ont commencé à recevoir des e-mails intitulés « Notification de sécurité Heroku – réinitialisation des mots de passe des comptes d’utilisateurs le 4 mai 2022 » indiquant que les mots de passe seraient réinitialisés de force aujourd’hui en réponse à l’incident de sécurité du mois dernier.
« Dans le cadre de nos efforts pour améliorer notre sécurité et en réponse à un incident publié sur status.heroku.com, nous souhaitions vous informer que nous commencerons à réinitialiser les mots de passe des comptes utilisateurs le 4 mai 2022 », lit-on dans l’e-mail envoyé à Heroku. les clients.
Heroku a également averti que la modification du mot de passe invaliderait tous les jetons d’accès à l’API, ce qui empêcherait l’automatisation ou les applications existantes qui reposent sur l’API de fonctionner jusqu’à ce que de nouveaux jetons soient générés.
La source: EZpublish-france.fr
Cet e-mail est lié à un incident de sécurité qui s’est produit le mois dernier lorsque des pirates ont abusé de jetons OAuth volés pour télécharger des données à partir de référentiels GitHub privés appartenant à des dizaines d’organisations, dont npm.
« Le 12 avril, GitHub Security a ouvert une enquête qui a révélé des preuves qu’un attaquant avait abusé de jetons d’utilisateur OAuth volés délivrés à deux intégrateurs OAuth tiers, Heroku et Travis-CI, pour télécharger des données de dizaines d’organisations, y compris npm », a révélé GitHub. .
Ces jetons volés ont été utilisés par les applications Travis-CI et Heroku OAuth pour s’intégrer à GitHub afin de déployer des applications.
En utilisant ces jetons OAuth volés, les acteurs de la menace pourraient accéder et télécharger des données à partir des référentiels GitHub appartenant à ceux qui ont autorisé les applications Heroku ou Travis CI OAuth compromises avec leurs comptes.
Les réponses vagues d’Heroku concernent les clients
Lorsque Heroku a divulgué l’incident de sécurité pour la première fois, ils ont déclaré que l’accès non autorisé était lié aux référentiels GitHub appartenant à des comptes qui utilisaient leurs applications oAuth compromises.
Avec Heroku forçant désormais la réinitialisation des mots de passe, les clients craignent à juste titre que leur enquête ait pu découvrir d’autres activités malveillantes des acteurs de la menace qui ne sont pas divulguées.
Dans un article de Ycombinator Hacker News sur les e-mails, les clients pensent que Heroku n’est pas suffisamment transparent sur l’attaque et crée davantage de confusion pour les clients.
« Cela se transforme en un accident de train complet et en une étude de cas sur la façon de ne pas communiquer avec vos clients », a déclaré une personne. posté sur les e-mails.
Une autre affiche pense que les réinitialisations forcées soudaines, trois semaines après la divulgation initiale, signifient qu’il y a plus dans l’attaque que Heroku ne révèle.
« Il y a certainement eu une infraction il y a trois semaines sur laquelle ils semblent avoir enquêté depuis. Je ne suis, comme le commentateur ci-dessus, pas convaincu de leur déclaration, principalement à cause du manque total de transparence jusqu’à présent », a posté un autre Lecteur de Hacker News.
« Le fait qu’ils n’envoient que maintenant des notifications supplémentaires pour faire pivoter les crédits laisse entrevoir quelque chose de plus important que ce qu’ils avaient initialement annoncé, mais nous n’en avons vraiment aucune idée car ils n’ont jamais donné beaucoup de détails en premier lieu. »
Lorsque ce journaliste a contacté le support Heroku à propos de cet incident après avoir reçu un e-mail, le support Heroku m’a dit de me référer à leur message de statut.
Cependant, ce message d’état ne contient aucune information sur la raison pour laquelle les réinitialisations de mot de passe sont effectuées, et lorsque j’ai pressé l’agent de support à ce sujet, on m’a dit que l’équipe de support n’avait pas d’autres informations.
De plus, EZpublish-france.fr n’a aucune intégration OAuth utilisant les applications Heroku ou GitHub, ce qui indique que ces réinitialisations de mots de passe sont liées à autre chose.
« Je me rends compte que c’est frustrant et que ce n’est pas ce que vous aimeriez entendre. Nos équipes d’ingénierie et de sécurité travaillent à une résolution aussi rapidement que possible », a déclaré Heroku.
EZpublish-france.fr a également contacté le contact presse d’Heroku pour lui poser des questions concernant la réinitialisation du mot de passe, mais n’a pas eu de réponse.