Heroku确认用户信息被黑客窃取

云应用平台Heroku证实，最近发生的GitHub集成OAuth令牌被盗的网络安全事件导致进一步的妥协，最终导致客户凭证被盗。在社区施加一些压力后，为了更清楚地说明事件以及为什么开始向其客户发送密码重置电子邮件，这家Salesforce拥有的公司证实，被泄露的令牌被未知的线程参与者用于获取哈希和来自“数据库”的属于其客户的加盐密码。

“出于这个原因，Salesforce确保重置所有Heroku用户密码并刷新可能受影响的凭据。我们轮换了内部Heroku凭据并进行了额外的检测。我们正在继续调查令牌泄露的来源，”它在安全咨询。

分享您对网络安全的看法，并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备，以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。

BleepingComputer发现，据此前与该公司有关联的人士称，Heroku所指的数据库很可能是“core-db”。

PostgreSQL平台CrunchyData的CraigKerstiens评论这条消息时说：“最新报告指出，‘数据库’大概是内部数据库。我不想过多推测，但似乎[攻击者]可以访问到内部系统。GitHub是检测并注意到它并报告给Heroku的人。不同意应该更清楚，但最好跟进Salesforce。

>GitHub警告说，一个神秘的黑客正在从私有代码存储库中数据>OAuth：你需要知道的>OAuth应用程序正在被利用来发起网络攻击

但被盗密码可能最终成为Heroku最不关心的问题，因为社区已经公开批评了该公司处理事件的方式，以及它如何与用户和客户沟通。在最初的事件发生后，4月12日，该公司开始强制对其部分用户帐户进行密码重置，但没有完全解释发生了什么。

近三周后，Heroku给出了完整的解释，YCombinatorHackerNews上的一些读者将其描述为“一个完整的火车失事以及如何不与客户沟通的案例研究”。