Heroku har larmat en “undergrupp” av sina användare att den kommer att återställa deras lösenord den 4 maj om de inte byter lösenord i förväg. Genom att återställa lösenordet varnar företaget för att befintliga API-åtkomsttokens också kommer att vara oanvändbara, och nya kommer att behöva genereras.
Offentligt har företaget bara sagt att “en delmängd” av sina kunder skulle skickas via e-post “angående våra kontinuerliga ansträngningar för att förbättra säkerheten”.
“Vi uppskattar ditt samarbete och ditt förtroende när vi fortsätter att göra din framgång till vår högsta prioritet”, stod det på ett säkerhetsincidentmeddelande som har pågått i 18 dagar och räknas.
Incidenten i fråga relaterar till en stöld av OAuth-tokens som GitHub såg i april, vilket påverkade fyra OAuth-applikationer relaterade till Heroku Dashboard och en från Travis CI.
“Den första upptäckten relaterad till denna kampanj inträffade den 12 april när GitHub Security identifierade obehörig åtkomst till vår npm-produktionsinfrastruktur med hjälp av en komprometterad AWS API-nyckel,” sa GitHub.
“Baserat på efterföljande analys tror vi att den här API-nyckeln erhölls av angriparen när de laddade ner en uppsättning privata npm-lager med hjälp av en stulen OAuth-token från en av de två påverkade OAuth-applikationerna från tredje part som beskrivs ovan.”
GitHub sa att de informerade Heroku och Travis-CI om incidenten den 13 och 14 april.
“GitHub kontaktade Heroku och Travis-CI för att begära att de initierar sina egna säkerhetsutredningar, återkallar alla OAuth-användartoken som är associerade med de berörda applikationerna och påbörjar arbetet med att meddela sina egna användare”, stod det.
Senast den 27 april sa GitHub att de skickade ut sina slutliga meddelanden till berörda kunder och sa att angriparna använde de stulna OAuth-tokens som utfärdats till Heroku och Travis CI för att lista användarorganisationer innan de valde mål och klonade privata förråd.
“Detta beteendemönster tyder på att angriparen bara listade organisationer för att identifiera konton som selektivt skulle rikta in sig på för listning och nedladdning av privata arkiv”, sa GitHub.
“GitHub tror att dessa attacker var mycket riktade baserat på tillgänglig information och vår analys av angriparens beteende med de komprometterade OAuth-tokens som utfärdats till Travis CI och Heroku.”
Å sin sida sa Heroku på sin incidentsida att den varnades den 13 april om att en delmängd av dess privata arkiv och källkod laddades ner den 9 april innan den återkallade tokens från Heroku GitHub-integrationen, och sa den 23 april att integrationen skulle stanna.
“Vi tar skyddet av våra kunder på största allvar, och som ett resultat kommer vi inte att återansluta till GitHub förrän vi är säkra på att vi kan göra det säkert, vilket kan ta lite tid. Vi rekommenderar att kunder använder alternativa metoder istället för att vänta för att vi ska återställa denna integration,” sa Heroku.
Sedan dess och fram till tisdag har det Salesforce-ägda företaget gjort nästan dagliga uppdateringar genom att helt enkelt säga att utredningen pågår och ber kunderna att skicka dem loggar från GitHub.
