Heroku機器帳號權杖遭盜用，波及GitHub OAuth權杖與客戶憑證

平臺即服務（PaaS）供應商Heroku發現駭客盜用了該公司機器帳號的權杖，取得進入資料庫的權限，不僅盜走整合GitHub的OAuth權杖，也存取了存放客戶憑證 ... 移至主內容 文/陳曉莉 | 2022-05-06發表 圖片來源: Heroku 上個月GitHub發現有駭客濫用了授予Heroku及Travis-CI的OAuth使用者權杖，以於GitHub存取及下載屬於數十個組織的資料，本周四（5/5）Heroku公布了調查結果，指出駭客盜用了一個Heroku機器帳號的權杖，取得了進入Heroku資料庫的權限，不僅盜走整合GitHub的OAuth權杖，也存取了存放客戶憑證的資料庫。

Salesforce在2010年收購的Heroku為一平臺即服務（PlatformasaService，PaaS）供應商，它集結了各種資料服務與生態體系，以讓客戶得以部署與執行現代化程式，標榜是一個以程式為中心的軟體遞送服務，並整合許多熱門的開發者工具及流程，包括Git、GitHub或各種ContinuousIntegration（CI）系統。

GitHub是在4月12日發現駭客的非法行為，並於隔天通知Salesforce，旋即展開調查的Heroku發現，駭客盜用了一個Heroku機器帳號的權杖，因而得以存取Heroku資料庫，並下載了存放於該資料庫、整合了GitHub與OAuth的客戶權杖，除了客戶置放於GitHub儲存庫遭到存取以外，Heroku的GitHub私有儲存庫也遭殃，內含某些Heroku的原始碼。

Heroku已於4月16日撤銷所有整合GitHub的OAuth權杖，以阻止客戶透過自動化或Heroku控制臺自GitHub部署程式，將在確認安全無虞之後才會重新啟用該功能。

除此之外，Heroku的調查亦發現駭客也利用同樣的Heroku權杖，存取了存放客戶帳號資訊的資料庫，內含客戶的加鹽雜湊密碼。

其實Heroku在發表此一完整報告的前一天，便去信要求客戶變更它們Heroku帳號的密碼，還說若客戶未主動變更，Heroku將會執行密碼自動重設功能，但當時Heroku並沒有作出任何解釋，而引起客戶的騷動。

現在則真相大白，原來只是簡單的Heroku機器帳號遭到盜用，就外洩了客戶機密。

iThomeSecurity 熱門新聞 數位防疫工具更新預告，快篩陽性可從健康存摺填自主回報系統 2022-05-09 穩定幣UST與美元脫鉤，市值只剩0.9美元 2022-05-11 明日起密切接觸者改為同住親友、不再匡列職場同事，企業可依3原則調整辦公方式 2022-05-07 GoogleDocs臭蟲1個字重覆5次就當機 2022-05-09 F5修補重大的BIG-IP遠端執行漏洞，概念性驗證攻擊程式即將現身 2022-05-09 【行動自然人憑證應用：財政部】手機報稅身分驗證新選擇，刷臉或指紋驗證免拿實體卡 2022-05-09 【資安日報】2022年5月9日，研究人員呼籲要儘速修補BIG-IP重大漏洞、RubyGems出現可竄改套件的漏洞 2022-05-09 傳中國政府部門、國企禁用外國電腦產品 2022-05-09 Advertisement iThomeSecurity 專題報導 解放政府行動力 DPU走入企業應用 如何當一個稱職的資安長？ 友達數位製造轉型大解密 醫療HIS微服務化大改造 更多專題報導