最近披露的涉及 GitHub 的针对 Heroku 的网络攻击可能比最初怀疑的要严重得多。

Salesforce 旗下的云应用平台 Heroku 于 5 月 4 日开始强制重置用户密码。

在周四（5 月 5 日）凌晨，Heroku 发布了更新，暗示尚未确定身份的攻击者访问了其核心数据库中的数据作为攻击的结果。

该事件此前于 4 月 15 日披露，导致 GitHub 集成OAuth令牌被曝光。这是GitHub 上周单独更新的主题。

正如这家云公司的最新更新所解释的那样，这些凭据是由于对 Heroku 的成功攻击而暴露的：

2022 年 4 月 7 日，攻击者获得了对 Heroku 数据库的访问权限，并下载了存储的客户 GitHub 集成 OAuth 令牌。通过利用 Heroku 机器帐户的受损令牌来实现对环境的访问。

有证据表明，在攻击者“从 GitHub 下载 Heroku 私有 GitHub 存储库的子集，其中包含一些 Heroku 源代码”之前，攻击者能够使用元数据将客户存储库与 OAuth 令牌链接起来。

这一攻击元素发生在 4 月 9 日，4 月 12 日被 GitHub 检测到，并在一天后通知 Heroku。

作为回应，Heroku 发起了一项调查，很快导致“撤销所有 GitHub 集成 OAuth 令牌，阻止客户通过 Heroku 仪表板或自动化从 GitHub 部署应用程序”。

在最新的发展中，Heroku 正在进行的调查显示，Heroku 机器帐户的受损令牌使攻击者能够“访问数据库并泄露客户用户帐户的散列和加盐密码”。

这一发现促成了本周 Heroku 客户密码子集的重置。

“Salesforce 正在确保重置所有 Heroku 用户密码，并刷新可能受影响的凭据，”Heroku 的更新总结道。

“我们已经轮换了 Heroku 内部凭证，并进行了额外的检测。我们正在继续调查令牌泄露的来源。”

Daily Swig要求 Heroku 确认违规的根本原因，并概述有多少账户可能受到影响。我们将在获得更多信息时更新这个故事。