このほど、HerokuおよびTravis CIから発行されたOAuthユーザトークンを悪用してGitHubのプライベートリポジトリへ不正アクセスするサイバー攻撃が確認された。このサイバー攻撃は高度な標的型攻撃だったと分析されており、高度なスキルによる巧妙なサイバー攻撃が進行している危険性がある(参考「盗まれたOAuthユーザトークンでGitHubリポジトリからデータ奪う攻撃発生 | TECH+」「盗まれたOAuth悪用したGitHubの情報漏洩、高度な「標的型攻撃」と判明 | TECH+」)。
OAuthユーザートークンが盗まれたHerokuでは、なぜOAuthユーザートークンが漏えいしたのかを調査している段階にある。しかし、調査中に別の問題として、漏えいしたトークンを悪用してデータベースに不正アクセスされて、ハッシュ化およびソルト化されたパスワードが流出したことが確認されたため、パスワードリセットという対応に出たことが伝えられた。
-
Heroku Status - Heroku Security Notification
Hirokuは5月5日(米国時間)、「Heroku Status - Heroku Security Notification」に掲載した更新情報において、すべてのHerokuユーザーのパスワードをリセットしていると伝えた。同社は、OAuthトークンの漏洩にまつわるセキュリティインシデントの影響を受けると見られる認証情報のリフレッシュを行っていると説明している。
Hirokuはユーザーに対して、「Incident 2413 | Heroku Status」のチェックを定期的に行い、アップデートに対して適切に対応することを呼びかけている。
