Salesforceが所有するHerokuは、盗まれたユーザークレデンシャルの処理をめぐって反発に直面しています

Salesforce-owned Heroku faces backlash over handling of stolen user credentials - threcord.media(cybercrime)

5月4日、Herokuは一部のユーザーに、パスワードが変更されたことを示すメールを送信しましたが、その理由は説明していません。
先月、攻撃者がHerokuとソフトウェアテストプラットフォームTravis-CIに発行された盗まれたOAuthユーザートークンを悪用したセキュリティインシデントをほのめかしたHerokuのユーザーへのメール。
ハッカーがHerokuでのアクセスを使用して、npmを所有するGitHubのプライベートリポジトリにピボットするため、この違反は広範囲にわたる影響を与える可能性があります。
> — GitHubセキュリティ（@GitHubSecurity）2022年4月15日
「2022年4月7日、攻撃者はHerokuデータベースへのアクセスを取得し、保存されている顧客のGitHub統合OAuthトークンをダウンロードしました。環境へのアクセスは、Herokuマシンアカウントの侵害されたトークンを利用することで取得されました」と同社は説明しました。