Heroku機器帳號權杖遭盜用，波及GitHub OAuth權杖與客戶憑證

上個月GitHub發現有駭客濫用了授予Heroku及Travis-CI的OAuth使用者權杖，以於GitHub存取及下載屬於數十個組織的資料，本周四（5/5）Heroku公布了調查結果，指出駭客盜用了一個Heroku機器帳號的權杖，取得了進入Heroku資料庫的權限，不僅盜走整合GitHub的OAuth權杖，也存取了存放客戶憑證的資料庫。

Salesforce在2010年收購的Heroku為一平臺即服務（Platform as a Service，PaaS）供應商，它集結了各種資料服務與生態體系，以讓客戶得以部署與執行現代化程式，標榜是一個以程式為中心的軟體遞送服務，並整合許多熱門的開發者工具及流程，包括Git、GitHub或各種Continuous Integration（CI）系統。

GitHub是在4月12日發現駭客的非法行為，並於隔天通知Salesforce，旋即展開調查的Heroku發現，駭客盜用了一個Heroku機器帳號的權杖，因而得以存取Heroku資料庫，並下載了存放於該資料庫、整合了GitHub與OAuth的客戶權杖，除了客戶置放於GitHub儲存庫遭到存取以外，Heroku的GitHub私有儲存庫也遭殃，內含某些Heroku的原始碼。

Heroku已於4月16日撤銷所有整合GitHub的OAuth權杖，以阻止客戶透過自動化或Heroku控制臺自GitHub部署程式，將在確認安全無虞之後才會重新啟用該功能。

除此之外，Heroku的調查亦發現駭客也利用同樣的Heroku權杖，存取了存放客戶帳號資訊的資料庫，內含客戶的加鹽雜湊密碼。

其實Heroku在發表此一完整報告的前一天，便去信要求客戶變更它們Heroku帳號的密碼，還說若客戶未主動變更，Heroku將會執行密碼自動重設功能，但當時Heroku並沒有作出任何解釋，而引起客戶的騷動。

現在則真相大白，原來只是簡單的Heroku機器帳號遭到盜用，就外洩了客戶機密。