Heroku reset alle gebruikersaccounts nadat wachtwoorden zijn gestolen – Computer – Nieuws

Heroku reset de wachtwoorden van alle gebruikers. Dat heeft verband met een eerder beveiligingsincident waarbij er OAuth-tokens werden misbruikt om GitHub-repo’s aan te vallen. Daarbij zijn ook wachtwoorden van gebruikers gestolen.

Heroku is begonnen met het op de hoogte stellen van gebruikers. Die krijgen sinds deze week e-mails waarin staat dat hun wachtwoord wordt hersteld. Gebruikers moeten een nieuw wachtwoord aanmaken voor hun Heroku-accounts. Heroku waarschuwt dat daardoor applicaties die op het platform draaien mogelijk niet meer werken. De wachtwoordreset betekent ook dat andere applicaties die de Heroku-api aanspreken niet meer zullen werken, schrijft het platform in de e-mail. Gebruikers moeten daarvoor eerst nieuwe access tokens aanmaken. Het bedrijf raadt gebruikers ook aan multifactorauthenticatie aan te zetten, maar dat wordt niet verplicht.

De reset heeft te maken met een eerder beveiligingsincident. In april bleek dat aanvallers OAuth-tokens hadden gestolen waarmee ze data uit privérepo’s op GitHub downloadden. Dat gebeurde onder andere uit de GitHub-repo van npm. GitHub meldde toen dat die tokens afkomstig waren van twee diensten die OAuth-integratie aanboden. Dat waren Heroku en Travis-CI. Daarop trok Heroku eerder al de toegangstokens in van applicaties van gebruikers.

Aanvankelijk was niet duidelijk wat de exacte omvang van het incident was. Er werden namelijk ook tokens ingetrokken van gebruikers die geen GitHub-integratie hadden met Heroku. Ook de huidige wachtwoordreset geldt voor alle Heroku-accounts. Heroku schrijft nu in een update dat aanvallers toegang kregen tot de privérepo’s van Heroku zelf waar ook broncode in stond. Ook hadden de aanvallers toegang tot een database met een onbekend aantal gehashte en gesalte wachtwoorden. Daarop besloot Heroku-eigenaar Salesforce alle credentials van gebruikers te resetten.