Passwort-Diebstahl: Neben GitHub-OAuth-Token auch Passwörter bei Heroku geklaut
Nachdem Heroku zum Passwortändern aufgerufen hat, erklärt Salesforce nun den Grund: Gehashte und gesalzene User-Passwörter wurden aus einer Datenbank entwendet.
(Bild: Den Rise/Shutterstock.com)
Nicht nur GitHub-OAuth-Token, sondern auch Nutzerpasswörter sind während des aktuellen Vorfalls bei Heroku entwendet worden. Das gab Salesforce im Blog der Cloud-Plattform bekannt. Zuletzt waren die Plattform-Nutzer zum Ändern ihrer Zugangsdaten aufgefordert worden, die Begründung ließ aber zunächst auf sich warten. Heroku gibt an, dass die Passwörter gehasht und gesalzen in der betroffenen Datenbank vorlagen. Ein gesalzenes Passwort bedeutet, dass die Nutzer-Eingabe vor dem Berechnen des Hashes noch mit einer zufälligen Zeichenfolge versehen wird. Das dient dazu, auch bekannte Hashes von beliebten Passwörter noch einmal abzusichern.
Der Diebstahl
Die Ermittlungen des Sicherheitsteams ergaben auch ein neues Bild des OAuth-Token-Diebstahls, der am 9. April von GitHub bemerkt wurde. Mit einem kompromittierten Token für einen Heroku-Maschinen-Account verschaffte sich der unbekannte Angreifer am 7. April Zugang zur Datenbank mit den GitHub-Token. Am Folgetag scannte der Akteur dann die Metadaten der Nutzer-Repositorien und lud am 9. April einen Teil der privaten Heroku-Repositorien auf GitHub herunter. Nach Angaben von Salesforce war auch ein Teil von Herokus Quellcode in den Repositorien enthalten.
Die Konsequenzen
Nachdem der Vorfall bekannt und von GitHub untersucht worden war, zog Heroku alle OAuth-Token für die GitHub-Integration zurück. Seitdem können Nutzer keine Anwendungen von GitHub automatisiert oder durch das Heroku Dashboard ausführen. Heroku verspricht das Wiederherstellen der Verknüpfung, sobald das Team eine sichere Verbindung gewährleisten kann. Das mit dem Vorfall verbundene Passwortändern führt laut Salesforce auch zum Invalidieren bestehender API-Zugangstoken, wodurch 403-forbidden-Fehler entstehen. Um Ausfälle zu vermeiden, wird den Nutzern geraten, das direkte Autorisieren zu reaktivieren und alle Integrationen mit ihren neuen Token zu aktualisieren.
Die inneren Systeme von GitHub und Travis CI scheinen dem aktuellen Stand nach nicht betroffen zu sein. Informationen rund um sichere Passwörter wurden im Zuge des Welt-Passwort-Tages hier veröffentlicht. Das Originalupdate zur Sicherheitslücke bei Heroku findet sich in deren Blog.
(pst)
