Posté le mai 6, 2022 à 6:51
HEROKU RÉINITIALISE LES MOTS DE PASSE DE SES CLIENTS SUITE À UN PIRATAGE INFORMATIQUE
Heroku, propriété de Salesforce, a récemment procédé à la réinitialisation des mots de passe des utilisateurs en réponse à l’incident de piratage de sa plateforme le mois dernier. La plateforme a indiqué précédemment que cette opération était nécessaire afin de protéger les comptes contre toute nouvelle exposition.
Les utilisateurs ont reçu une notification de changement de mot de passe
Les utilisateurs de la plateforme ont commencé à recevoir des e-mails pour leur permettre de réinitialiser leurs mots de passe. Dans l’e-mail, intitulé » Heroku security information « , il est mentionné que les mots de passe seront réinitialisés de force aujourd’hui comme mesure de protection des comptes des utilisateurs.
« Dans le cadre de nos efforts pour renforcer notre sécurité et en réponse à un incident publié sur status.heroku.com, nous tenions à vous informer que nous commencerons à réinitialiser les mots de passe des comptes utilisateurs le 4 mai 2022 », peut-on lire dans l’e-mail, ajoutant que cela fait partie des mesures prises par la société pour offrir une protection plus forte en réponse à la récente attaque.
Heroku a également déclaré qu’une fois le mot de passe modifié, cela invaliderait tous les jetons d’accès à l’API. Cela affectera les applications existantes qui dépendent de l’API. Elles ne seraient plus utiles jusqu’à ce que de nouveaux jetons soient générés, note le mail.
Le mois dernier, des acteurs de menaces ont abusé des jetons OAuth volés et ont téléchargé des données à partir de dépôts GitHub privés appartenant à npm et à plusieurs autres organisations.
La sécurité de Github a ouvert une enquête sur l’incident le 12 avril, découvrant des preuves qu’un hacker a volé des jetons d’utilisateur OAuth. Ils ont été délivrés à deux intégrateurs tiers – Travis CI et Heroku – et intégrés à GitHub pour déployer des applications.
Avec les jetons volés, les attaquants pouvaient facilement accéder aux dépôts GitHub et télécharger des données à partir de ceux qui avaient autorisé les applications OAuth compromises de Travis CI ou Heroku avec leurs comptes.
La première réponse de Heroku était vague
Lors de la découverte de l’incident, la réponse initiale de Heroku n’était pas satisfaisante pour les clients. La société a informé ses clients que la fuite provenait de dépôts GitHub appartenant à des comptes qui utilisaient leurs applications OAuth compromises.
Comme l’entreprise oblige maintenant à réinitialiser le mot de passe, certains clients ont exprimé leurs inquiétudes quant au fait que l’enquête sur l’incident pourrait avoir révélé d’autres activités malveillantes que la plateforme tente délibérément de couvrir.
En général, lorsque les clients sont contraints de réinitialiser leurs mots de passe après un incident de piratage, il est plus probable que l’impact de l’attaque soit massif si une telle précaution n’est pas prise. À l’heure où nous écrivons ces lignes, Heroku n’a pas révélé le niveau d’impact de l’attaque, et les clients restent inquiets.
Les clients ont manifesté leur inquiétude au sujet de la violation
Certains clients de la plateforme sont allés sur divers forums et plateformes de médias sociaux pour affirmer que Heroku n’est pas transparent sur l’incident et crée de la confusion pour les clients.
« Cela se transforme en un véritable accident de train et en une illustration de la manière dont il ne faut pas communiquer avec ses clients », a publié un client sur le site Ycombinator Hacker News.
Un autre utilisateur estime que les mesures prises par Heroku pour forcer la réinitialisation des mots de passe des clients indiquent clairement que l’attaque est plus importante que ce que l’entreprise laisse entendre. L’utilisateur ajoute que la réinitialisation forcée intervient trois semaines après l’attaque, ce qui est suffisant pour savoir qu’il se passe quelque chose.
Un autre lecteur de Hacker News a posté qu’il y a sûrement eu une violation il y a trois semaines, sur laquelle l’entreprise enquête depuis. L’utilisateur a noté qu’il semble que l’enquête ait révélé quelque chose qu’ils ne sont pas à l’aise de partager avec les clients. De nombreux autres utilisateurs ont également commenté et exprimé leur mécontentement face au manque de transparence dont a fait preuve Heroku dans sa gestion de l’incident de piratage.
Heroku explique pourquoi une notification de réinitialisation de mot de passe a été envoyée
En réponse à plusieurs plaintes de clients, Heroku a expliqué pourquoi elle a décidé d’envoyer des notifications de réinitialisation de mot de passe aux utilisateurs. La plateforme a déclaré que son enquête a montré que le même jeton volé a été utilisé pour accéder à une base de données. Elle a également indiqué qu’il avait été utilisé pour exfiltrer les mots de passe hachés et salés des comptes utilisateurs des clients.
En conséquence, Salesforce veut s’assurer que tous les comptes utilisateurs Heroku sont réinitialisés pendant que les informations d’identification potentiellement affectées sont renouvelées. En outre, Heroku a déclaré qu’il n’a pas encore conclu son enquête. La plate-forme a noté que plus de détails seront disponibles par les canaux appropriés si d’autres informations sont découvertes. La société a déclaré qu’en dehors de la réinitialisation du mot de passe, d’autres mesures de sécurité ont été mises en place pour s’assurer que les clients sont protégés contre toute autre incidence.
