圖片來源: 

Heroku

上個月GitHub發現有駭客濫用了授予Heroku及Travis-CI的OAuth使用者權杖,以於GitHub存取及下載屬於數十個組織的資料,本周四(5/5)Heroku公布了調查結果,指出駭客盜用了一個Heroku機器帳號的權杖,取得了進入Heroku資料庫的權限,不僅盜走整合GitHub的OAuth權杖,也存取了存放客戶憑證的資料庫。

Salesforce在2010年收購的Heroku為一平臺即服務(Platform as a Service,PaaS)供應商,它集結了各種資料服務與生態體系,以讓客戶得以部署與執行現代化程式,標榜是一個以程式為中心的軟體遞送服務,並整合許多熱門的開發者工具及流程,包括Git、GitHub或各種Continuous Integration(CI)系統。

GitHub是在4月12日發現駭客的非法行為,並於隔天通知Salesforce,旋即展開調查的Heroku發現,駭客盜用了一個Heroku機器帳號的權杖,因而得以存取Heroku資料庫,並下載了存放於該資料庫、整合了GitHub與OAuth的客戶權杖,除了客戶置放於GitHub儲存庫遭到存取以外,Heroku的GitHub私有儲存庫也遭殃,內含某些Heroku的原始碼。

Heroku已於4月16日撤銷所有整合GitHub的OAuth權杖,以阻止客戶透過自動化或Heroku控制臺自GitHub部署程式,將在確認安全無虞之後才會重新啟用該功能。

除此之外,Heroku的調查亦發現駭客也利用同樣的Heroku權杖,存取了存放客戶帳號資訊的資料庫,內含客戶的加鹽雜湊密碼。

其實Heroku在發表此一完整報告的前一天,便去信要求客戶變更它們Heroku帳號的密碼,還說若客戶未主動變更,Heroku將會執行密碼自動重設功能,但當時Heroku並沒有作出任何解釋,而引起客戶的騷動。

現在則真相大白,原來只是簡單的Heroku機器帳號遭到盜用,就外洩了客戶機密。


熱門新聞

Advertisement