Á la fin de la semaine dernière, Heroku, un éditeur de PaaS appartenant à Salesforce, et GitHub, ont tous deux avertis sur l’usage possible de tokens d'utilisateur OAuth compromis pour télécharger des données sensibles d’entreprises utilisant le PaaS et le service d'intégration continue et de test Travis CI. Selon l'article de blog publié par le référentiel de code, il y a peu de chances que GitHub ait été lui-même compromis, puisque les jetons OAuth en question ne sont pas stockés par GitHub dans des formats utilisables. Par contre, il semble plus probable qu'ils aient été pris dans les applications de Heroku et Travis CI qui utilisent le framework OAuth pour l'authentification. Vendredi, GitHub a déclaré que cinq applications OAuth spécifiques étaient affectées - quatre versions de Heroku Dashboard, et Travis CI (IDs 145909, 628778, 313468, 363831 et 9261).
Salesforce a déclaré que dès qu’il a été informé par GitHub mercredi dernier, il a désactivé les tokens OAuth compromis et le compte dont ils provenaient. « Sur la base des informations partagées avec nous par GitHub, nous cherchons à savoir comment les pirates a pu avoir accès aux tokens OAuth des clients », indique le blog de Heroku. « Les jetons compromis pourraient donner aux cybercriminels l’accès aux dépôts GitHub des clients, mais pas à leurs comptes Heroku», a précisé l’éditeur de PaaS.
Vérifier les activités anormales et déconnecter les applications
Heroku a invité les utilisateurs des produits concernés à examiner immédiatement leurs journaux GitHub pour vérifier si des données avaient été volées, et à contacter l'équipe de sécurité de Salesforce s’ils avaient détecté une activité suspecte. De plus, tant que le problème n’est pas résolu, l’éditeur recommande de déconnecter les applications liées à Heroku des dépôts GitHub, et révoquer ou à renouveler les identifiants exposés. Selon les dernières informations publiées dimanche par Heroku, Salesforce n'a pas encore terminé la révocation de tous les jetons OAuth, mais que ce travail se poursuit. Selon Salesforce, les dépôts GitHub ne seront pas affectés, mais cette révocation signifie que le déploiement de récentes applications depuis GitHub vers le tableau de bord Heroku ne fonctionnera pas jusqu'à ce que de nouveaux jetons puissent être émis.
D’après l’investigation de GitHub, aucune donnée de compte d'utilisateur, ni aucun identifiant, n'ont été consultés lors de l'attaque. Le référentiel a déclaré qu’il avait commencé à prévenir les clients affectés par l’attaque, et recommande, comme Salesforce, un examen immédiat de tous les journaux d'audit et des applications OAuth. « Notre analyse d'autres comportements de l'acteur de la menace suggère que les acteurs peuvent exploiter le contenu du dépôt privé téléchargé, auquel le token OAuth volé avait accès, pour trouver des secrets qui pourraient être utilisés pour s’introduire dans d'autres infrastructures », a aussi déclaré GitHub.