Heroku：サイバー攻撃者が盗んだOAuthトークンを使用して顧客アカウントの資格情報を盗んだ – darkreading.com

4月15日のブログで、GitHubCSOのMikeHanleyは、攻撃者がHerokuと別のサードパーティインテグレーターであるTravis-CIに発行されたOAuthユーザートークンを使用して、ノードパッケージマネージャーであるnpmを含む数十の組織に属するリポジトリからデータをダウンロードしたと述べました。
Herokuによるインシデントの調査では、攻撃者が内部の「マシンアカウント」に関連付けられた盗まれたOAuthトークンを使用して、顧客のGitHub統合に使用されるOAuthトークンを含むHerokuデータベースにアクセスしたことがわかりました。
攻撃者は4月7日にHerokuデータベースにアクセスし、保存されたトークンをダウンロードし、2日後にそれらを使用して顧客データをダウンロードしたとHerokuは述べています。
その発見に続いて、HerokuはすべてのGitHub統合OAuthトークンを取り消し、顧客がHerokuのダッシュボードまたは自動化を使用してGitHub経由でアプリをデプロイできないようにしました。
BluBracketの製品および開発者関係の責任者であるCaseyBissonは、OAuthトークンを使用した攻撃は、元のクライアントに付与されたすべてのアクセス許可を使用してトークンを発行したサービスと相互作用する可能性があると述べています。
GitHub自体は、2023年の終わりから、リポジトリにコードを提供するすべての開発者が、アカウントにアクセスするために多要素認証を使用する必要があると述べています。