Η εταιρεία Heroku αυτή την εβδομάδα μοιράστηκε πρόσθετες λεπτομέρειες για μια κυβερνοεπίθεση τον Απρίλιο που είχε ως αποτέλεσμα μη εξουσιοδοτημένη πρόσβαση σε αποθετήρια GitHub πολλών πελατών.
Αρχικά αποκαλύφθηκε στα μέσα Απριλίου, το περιστατικό αφορούσε την κλοπή των OAuth tokens που εκδόθηκαν στους Heroku και Travis CI, τα οποία επέτρεψαν στους εισβολείς να έχουν πρόσβαση στα αποθετήρια των οργανισμών που χρησιμοποιούν αυτά τα δύο συστήματα συνεχούς ενοποίησης (CI).
Σε μια ενημερωμένη ειδοποίηση περιστατικού, το GitHub είπε ότι η επίθεση ήταν εξαιρετικά στοχευμένη, δεδομένου ότι οι φορείς απειλών απαριθμούσαν προσεκτικά όλα τα προσβάσιμα αποθετήρια και κατέβασαν μόνο ιδιωτικά repos από συγκεκριμένους οργανισμούς.
Σύμφωνα με τον Heroku, η επίθεση ξεκίνησε στις 7 Απριλίου, όταν ένας παράγοντας απειλής που έκανε κατάχρηση ενός παραβιασμένου διακριτικού για λογαριασμό μηχανής Heroku απέκτησε πρόσβαση στη βάση δεδομένων μιας εταιρείας, κάτι που είχε ως αποτέλεσμα οι εισβολείς να κατεβάσουν μάρκες OAuth ενσωμάτωσης GitHub πελατών.
“Σύμφωνα με το GitHub, ο παράγοντας απειλών άρχισε να απαριθμεί μεταδεδομένα σχετικά με τα αποθετήρια πελατών με τα ληφθέντα διακριτικά OAuth στις 8 Απριλίου 2022. Στις 9 Απριλίου 2022, ο εισβολέας κατέβασε ένα υποσύνολο των ιδιωτικών αποθετηρίων Heroku GitHub από το GitHub, που περιείχε κάποιο πηγαίο κώδικα Heroo », λέει ο τρίτος ενσωματωτής.
Το GitHub ειδοποίησε τη Salesforce –η Heroku είναι εταιρεία Salesforce– για την ύποπτη δραστηριότητα στις 13 Απριλίου, μία ημέρα μετά την αρχική ταυτοποίησή της. Στις 16 Απριλίου, η Heroky ανακάλεσε όλα τα διακριτικά OAuth ενσωμάτωσης GitHub, τα οποία ουσιαστικά εμποδίζουν τους πελάτες να χρησιμοποιούν τον Πίνακα ελέγχου Heroku ή την αυτοματοποίηση για την ανάπτυξη εφαρμογών από το GitHub. λέει η εταιρεία.
Κατά τη διάρκεια της δικής της έρευνας για το περιστατικό, η Salesforce ανακάλυψε ότι το παραβιασμένο διακριτικό χρησιμοποιήθηκε επίσης για πρόσβαση σε μια βάση δεδομένων και για κλοπή κατακερματισμένων και αλατισμένων κωδικών πρόσβασης για λογαριασμούς χρηστών πελατών. Έτσι, επανέφερε τους κωδικούς πρόσβασης των χρηστών για να διατηρήσει τους λογαριασμούς προστατευμένους και επίσης περιστράφηκε τα εσωτερικά διαπιστευτήρια Heroku.
Λίγο μετά τη δημοσιοποίηση του συμβάντος, ο Travis CI ανακοίνωσε ότι, ενώ «μια ιδιωτική εφαρμογή κλειδί OAuth που χρησιμοποιήθηκε για την ενσωμάτωση της εφαρμογής Heroku και Travis CI» όντως παραβιάστηκε στην επίθεση, αυτό το κλειδί «δεν παρέχει πρόσβαση σε κανένα αποθετήριο πελατών Travis CI ή τυχόν δεδομένα πελατών Travis CI.”
«Ερευνήσαμε διεξοδικά αυτό το ζήτημα και δεν βρήκαμε στοιχεία εισβολής σε αποθετήριο ιδιωτικού πελάτη (π.χ. πηγαίο κώδικα), καθώς το κλειδί OAuth που κλάπηκε στην επίθεση Heroku δεν παρέχει αυτόν τον τύπο πρόσβασης. Με βάση αυτά που βρήκαμε, δεν πιστεύουμε ότι αυτό αποτελεί ζήτημα ή κίνδυνο για τους πελάτες μας», δήλωσε ο Travis CI.