Platform aplikasi Cloud Heroku mengkonfirmasi bahwa insiden cybersecurity baru-baru ini, di mana Token GitHub OAuth terintegrasi dicuri, menyebabkan penyelesaian lebih lanjut, dan kredensial pelanggan akhirnya dicuri.
Setelah beberapa tekanan oleh komunitas, untuk memberikan kejelasan lebih lanjut tentang insiden tersebut, dan mengapa ia mulai mengirim email pengaturan ulang kata sandi kepada pelanggannya, perusahaan yang dimiliki oleh tim penjualan mengkonfirmasi bahwa token digunakan, oleh aktor yang tidak dikenal, untuk mendapatkan kata sandi hash dan asin, milik pelanggannya, dari “database”.
“Untuk alasan ini, Salesforce memastikan bahwa semua kata sandi pengguna Heroku diatur ulang dan kredensial yang berpotensi terpengaruh diperbarui. Dia memutar kredensial internal Hiroko dan menempatkan penemuan tambahan di tempat. “Kami terus menyelidiki sumber penyelesaian simbolis.
Database Internal
Basis data yang dimaksud Heroku, menurut seseorang yang sebelumnya berafiliasi dengan perusahaan, kemungkinan besar adalah “core-DB”, Plebingcomputer Ditemukan.
Mengomentari berita tersebut, Craig Kerstens dari platform PostgreSQL cronchedata, mengatakan: “laporan terbaru menyebutkan ‘database’ yang seharusnya menjadi database internal. Saya tidak ingin berspekulasi terlalu banyak, tetapi tampaknya [the attacker] Itu adalah akses ke sistem internal. GitHub-lah yang menemukan, memperhatikan, dan memberi tahu Hiroko. Kami tidak setuju bahwa harus ada lebih banyak kejelasan, tetapi lebih baik untuk menindaklanjuti dengan Salesforce di atasnya.”
Tetapi kata sandi yang dicuri pada akhirnya mungkin menjadi perhatian Heroku yang paling sedikit, karena komunitas telah secara vokal mengkritik bagaimana perusahaan menangani insiden tersebut, dan bagaimana hal itu berkomunikasi dengan pengguna dan pelanggannya. Setelah insiden asli, pada 12 April, perusahaan mulai memaksa pengaturan ulang kata sandi dari beberapa akun penggunanya, tanpa penjelasan lengkap tentang apa yang terjadi.
Hampir tiga minggu kemudian, Hiroko memberikan penjelasan lengkap, yang oleh beberapa pembaca di ecompinator Hacker News digambarkan sebagai ” kecelakaan kereta api yang lengkap dan studi kasus tentang bagaimana tidak berkomunikasi dengan pelanggan Anda.”
Melalui: plibingcomputer
