Heroku reset alle gebruikersaccounts nadat wachtwoorden zijn gestolen

Heroku reset de wachtwoorden van alle gebruikers. Dat heeft verband met een eerder beveiligingsincident waarbij er OAuth-tokens werden misbruikt om GitHub-repo's aan te vallen. Daarbij zijn ook wachtwoorden van gebruikers gestolen.

Heroku is begonnen met het op de hoogte stellen van gebruikers. Die krijgen sinds deze week e-mails waarin staat dat hun wachtwoord wordt hersteld. Gebruikers moeten een nieuw wachtwoord aanmaken voor hun Heroku-accounts. Heroku waarschuwt dat daardoor applicaties die op het platform draaien mogelijk niet meer werken. De wachtwoordreset betekent ook dat andere applicaties die de Heroku-api aanspreken niet meer zullen werken, schrijft het platform in de e-mail. Gebruikers moeten daarvoor eerst nieuwe access tokens aanmaken. Het bedrijf raadt gebruikers ook aan multifactorauthenticatie aan te zetten, maar dat wordt niet verplicht.

De reset heeft te maken met een eerder beveiligingsincident. In april bleek dat aanvallers OAuth-tokens hadden gestolen waarmee ze data uit privérepo's op GitHub downloadden. Dat gebeurde onder andere uit de GitHub-repo van npm. GitHub meldde toen dat die tokens afkomstig waren van twee diensten die OAuth-integratie aanboden. Dat waren Heroku en Travis-CI. Daarop trok Heroku eerder al de toegangstokens in van applicaties van gebruikers.

Aanvankelijk was niet duidelijk wat de exacte omvang van het incident was. Er werden namelijk ook tokens ingetrokken van gebruikers die geen GitHub-integratie hadden met Heroku. Ook de huidige wachtwoordreset geldt voor alle Heroku-accounts. Heroku schrijft nu in een update dat aanvallers toegang kregen tot de privérepo's van Heroku zelf waar ook broncode in stond. Ook hadden de aanvallers toegang tot een database met een onbekend aantal gehashte en gesalte wachtwoorden. Daarop besloot Heroku-eigenaar Salesforce alle credentials van gebruikers te resetten.

Reacties (45)

Gubbel 5 mei 2022 09:07

Dit is slechts een extraatje. Er is toegang verkregen tot de GitHub Tokens van gebruikers accounts waardoor ze de gehele integratie met GitHub hebben afgesloten. We zitten om t werk ondertussen al ruim 2 weken alles met de hand te doen, onze hele pijplijn ligt plat en Heroku geeft simpelweg geen informatie. Over 2 dagen zijn we er weg.

StijnH @Gubbel • 5 mei 2022 12:38

De integratie die ik gebruik is nu niet bepaald verregaand, maar ik kon terug verder door gewoon een https://git.heroku.com/projectnaam.git remote toe te voegen en naar daar te pushen.

Gubbel @StijnH • 5 mei 2022 14:31

De integratie stelde ons in staat alles automatisch te pushen. Wij hebben zo'n 15 services op Heroku draaien en voor elke service hebben we stage, acceptance en productie. Dan hebben we voor al die services ten alle tijden ook tussen de 5 en 20 review apps voor actief development werk.

Om 1 test omgeving op te zetten voor bepaalde features hebben we soms wel 5 van die services nodig die met elkaar communiceren op dezelfde branch om de gehele flow fatsoenlijk te testen, wat resulteert in een lijst met honderden remotes aan je git waar je continue handmatig naartoe moet pushen.

We hebben een eigen interne tool die via Heroku CLI al deze omgevingen voor ons maakt, dus met 1 klik heb ik al deze review apps draaien, maar daarna moeten we momenteel dus voor elke update heel veel handmatig pushen.

Los daarvan, is het simpelweg schandalig hoe lang Heroku hier al mee bezig is.

PieterjanDC 5 mei 2022 08:07

Ja, ze hebben de salted hashed passwords gestolen. Dat is toch nog net iets anders dan de plaintext passwords

ISaFeeliN @PieterjanDC • 5 mei 2022 08:12

Is de titel van het artikel dan niet een beetje misleidend?

feuniks @ISaFeeliN • 5 mei 2022 08:49

Het zijn nog steeds de wachtwoorden. Dat er een encryptielaag overheen ligt is bijzaak. Wellicht dat men er nu niet zo veel mee kan, maar wellicht is het over een tijdje wel mogelijk om de bijbehorende wachtwoorden te verkrijgen op basis van wat men nu heeft.

Nimja @feuniks • 5 mei 2022 11:53

Wat wel een verschil is als je de hashed passwords hebt EN toegang tot de code die de hashing doet (evt. met salt)

GameNympho @feuniks • 5 mei 2022 09:09

Maakt dan naar mijn weten niets meer uit, alle ww zijn gereset.

Redbiertje @GameNympho • 5 mei 2022 09:16

Er zijn genoeg mensen die hun wachtwoorden op meerdere platforms gebruiken.

Vogel666 @Redbiertje • 5 mei 2022 16:50

maar de kans dat dat andere platform dezelfde salt en zelfde encryptie gebruiken....
Kortom dat is irrelevant. De gestolen hashes geven toegang tot dit platform, niet tot andere.

Kjoe_Ljan @GameNympho • 5 mei 2022 09:27

Ik weet niet goed waar je naartoe wilt met je reacties, maar Heroku gaat natuurlijk niet het wachtwoord van mijn e-mailaccount resetten

Kjoe_Ljan @GameNympho • 5 mei 2022 09:32

Het punt is dat Heroku de wachtwoorden van Heroku heeft gereset, maar, zoals Redbiertje aangeeft, zijn er tal van mensen die wachtwoorden hergebruiken op andere platforms.

Dat Heroku de wachtwoorden op hun eigen platform reset lost het probleem op voor Heroku, maar niet voor de mensen die dezelfde wachtwoorden gebruiken voor andere accounts.

Lezen is soms inderdaad moeilijk

GameNympho @dieAndereGozer • 5 mei 2022 13:14

Lees eens terug, wat heb ik verkeerd getypt?
En dat de mensen, hun zelfde ww weer gebruiken, had ik het in de eerste instantie niet over, maar ach, dat werd dus de stemming.

laserve 5 mei 2022 08:19

Dus ze zouden specifiek jouw wachtwoord hash + salt moeten bruteforcen voor ze het hebben. Dan valt het nog mee

MiesvanderLippe @laserve • 5 mei 2022 08:39

Als je een password manager gebruikt is het niet zo'n probleem nee, maar dan is het instellen van een nieuw wachtwoord ook triviaal. Dit is vooral vervelend voor mensen die een eenvoudig wachtwoord hergebruiken.

Daarbij, ik lees niet wat voor hash + salt het is. Voor een Linux server kun je best wel een paar duizend rounds van een complex algoritme gebruiken maar dat zul je op een site niet doen.

kaas-schaaf @MiesvanderLippe • 5 mei 2022 09:35

Het salten in deze gevallen is niet voor de bescherming van een wachtwoord, dat is waarschijnlijk nog wel te vinden met voldoende geld in handen, maar tegen het vinden van alle wachtwoorden. Dat is een ander attack profile dan wat jij voorstelt. Als je dat wilt voorkomen zal je inderdaad meer en sterkere rounds moeten doen maar dat is een kosten/baten afweging.

MiesvanderLippe @kaas-schaaf • 5 mei 2022 09:43

Je kan een wachtwoord met salt nog steeds prima rendabel kraken als het algoritme niet sterk genoeg is, of als het wachtwoord zwak genoeg is.

"Dan valt het nog mee" is een aanname die je niet kunt doen zonder die factoren te weten.

YopY @laserve • 5 mei 2022 11:16

Ligt er aan of die hashing up to date is; Heroku is ondertussen 15 jaar oud, volgens mij was toen MD5 nog redelijk mainstream en die wordt ondertussen als zwak en makkelijk brute-force-baar gezien. En de hackers zullen natuurlijk de accounts met het hoogste profiel targeten en meer rekenkracht op zetten.

Alex3 5 mei 2022 09:35

Mogen we zelf googlen wie of wat Heroku is? Een beetje uitleg zou niet misstaan.

bjoran123 @Alex3 • 5 mei 2022 10:01

Heroku is een cloudplatform als een service die verschillende programmeertalen ondersteunt. Heroku, een van de eerste cloudplatforms, is in ontwikkeling sinds juni 2007, toen het alleen de programmeertaal Ruby ondersteunde, maar nu Java, Node.js, Scala, Clojure, Python, PHP en Go

FateTrap @YopY • 5 mei 2022 11:54

Ik ben het eens dat er niet meer uitleg nodig was. Opzoeken wat Heroku is staat gelijk aan één seconde opzoekingswerk, en de meeste ontwikkelaars kennen het meestal al.

Wat ik persoonlijk wel opmerkelijk vind, als Heroku één keer gehackt wordt, dan is het meteen hoofdnieuws op veel nieuwssites. Maar van al de keren dat Azure of windows en bepaalde andere kritieke infrastructuur gehackt worden, dan hoor je hier op tweakers en veel andere sites zo goed als nooit iets over.

Hoewel er frequent even erge voorvallen zijn:

Microsoft Azure Vulnerability Exposes PostgreSQL Databases to Other Customers https://thehackernews.com...ulnerability-exposes.html
Chinese Hackers Caught Exploiting Popular Microsoft Antivirus Products to Target Telecom Sector https://thehackernews.com...rs-caught-exploiting.html
AvosLocker Ransomware Variant Using New Trick to Disable Microsoft Antivirus Protection https://thehackernews.com...re-variant-using-new.html
Microsoft Hacked Again? Data Breaches You Should Know about in 2022 https://www.machadoconsul...hould-know-about-in-2022/
Microsoft Exchange servers hacked to deploy Hive ransomware https://www.bleepingcompu...o-deploy-hive-ransomware/
Microsoft: These hackers are using a simple trick to hide their Windows malware https://www.zdnet.com/art...de-their-windows-malware/

Hoeveel van deze zaken zijn gerapporteerd geweest door tweakers?

Vogel666 @FateTrap • 5 mei 2022 17:01

Ten eerste betreft Microsoft een zee aan producten (10.000+), waarvan vele aangekocht...
Ten tweede is het kunnen verbergen van je malware niet wenselijk, maar ook geen kwetsbaarheid op zichzelf
Ten derde: wanneer er echt iets aan de hand is dan verschijnt er gewoon een artikel op tweakers. Zoals:
Print Nightmare: nieuws: Alleen admins kunnen na PrintNightmare-patch nog printers en drivers ...
Print Spooler relay: nieuws: Microsoft waarschuwt voor nieuwe kwetsbaarheid in Windows Print Spool...

FateTrap @Vogel666 • 6 mei 2022 13:33

Er zijn bepaalde rapporten die aangeven dat meer dan 80% van alle malware die ontwikkeld wordt specifiek op Microsoft producten gericht is. Ik kan niet zeggen hoe accuraat deze gegevens zijn, maar in alle analyses zien we dat men merkt dat Microsoft onbegrijpelijk veel flaws heeft in zijn software:

-https://www.beckershospitalreview.com/cybersecurity/microsoft-vulnerabilities-increased-48-4-other-report-findings.html
-https://www.techrepublic.com/article/microsoft-product-vulnerabilities-reached-a-new-high-of-1268-in-2020/
-https://redmondmag.com/articles/2021/12/14/orgs-losing-trust-in-legacy-software-providers-like-microsoft.aspx
-https://techxplore.com/news/2021-08-microsoft-thousands-cloud-customers-vulnerability.html

Wat ik opmerkelijk vind is dat er in verhouding meer gerapporteerd wordt over kwetsbaarheden bij andere providers. Zo goed als iedere week heb je een probleem bij Microsoft dat even erg is als dit probleem van Heroku. Ook bij google heb je iedere week problemen die even groot zijn.

Je kunt jezelf de vraag stellen, is dit voorval met Heroku vermeldenswaardiger dan bvb deze twee windows kwetsbaarheden die niet vermeld worden:
- https://thehackernews.com...teloader-ppi-service.html
- https://thehackernews.com...ew-espionage-attacks.html

Ik denk dat hier het antwoord op deze vraag gegeven wordt:

The group is known to have targeted a wide range of organizations since at least 2012, with the actor primarily relying on email-based social engineering to gain initial access to drop PlugX, a backdoor predominantly deployed for long-term access.

Vogel666 @FateTrap • 6 mei 2022 17:41

99% procent van de digibeten zit op een Windows machine...dus daar maakt je je malware voor. Sowieso heeft Windows een marktaandeel van 71%.
Bovendien ben je op Windows als administrator vrij om alles te installeren wat je maar wil. Het is tenslotte jouw computer...waar jij verantwoordelijkheid voor draagt... Ga jij "pirated software" instaleren uit dubieuse bron....ja dan moet je ook niet zeuren dat je gehackt wordt...
Als ik jou een apk of een tar verschaf met een gehackte versie van proprietary software en ik stop daar malicious code in en zonder enige controle installeer jij die troep...tja, dan is je Debian, je SuSe of je RatHat ook gehackt.

Russsische Iranese, Isreaelische en Noord-Koreaanse overheden produceren 90% van de malware.
Daarbij volgen ze natuurlijk gewoon het marktaandeel. Dat kun je MS niet aanrekenen.
Als jij zelf een Operating System gaat schrijven is de kans dat er malware op los gelaten wordt echt nihil, maar dat maakt het nog geen veilig OS.

Je kunt op de een of andere reden wel iets tegen MS hebben, maar dat maakt het nog niet hun schuld of hun fout..

FateTrap @Vogel666 • 7 mei 2022 15:02

Android heeft het hoogste marktaandeel, dus daarom is het bizar dat meer dan 80% van de malware ontwikkeld zou worden voor Microsoft producten, wat beweerd wordt door sommige analyses. Ik denk dat ze een heel makkelijk doelwit zijn, en dat dit een groot deel van de verklaring is.

De populairste open-source projecten hebben veel minder bugs dan proprietary software, en voor een deel is Microsoft dus volledig verantwoordelijk. Microsoft zou perfect het open source voorbeeld van Android of Red Hat kunnen volgen, waardoor ze minder bugs in hun software zouden hebben. Maar dit past waarschijnlijk niet in hun misbruikende tactieken die ze al decennia lang ontwikkelen. Intel, ARM en AMD hebben niet het minste probleem met open source.

dieAndereGozer @YopY • 5 mei 2022 12:09

Bij andere artikelen doen ze het wel.

Akamatsu 5 mei 2022 10:41

Gister e-mail binnengekregen hierover van Heroku.

Wist eigenlijk niet meer dat ik daar nog een account had, zolang niet gebruikt. Als ik kijk in m'n password manager had ik een account gemaakt daar in 2015, tijdje terug dus al.

Gellukig gebruikte ik al een password manager dus dat wachtwoord kan me niet zoveel schelen als dat ooit gekraakt wordt.

Jim80 5 mei 2022 08:11

Het internet is zo lek als een zeef terwijl we er de meest gevoelige data en systemen aan toe vertrouwen. Dit moet toch een keer serieus opgelost kunnen worden met een revolutionaire technologie?

SunnieNL

@Jim80 • 5 mei 2022 08:13

Zolang er mensen tussen zitten die de beveiliging moeten configureren, inschakelen, beheren....
nee, dat wordt nooit opgelost.
Het is allemaal veilig genoeg te maken, alleen nemen beheerders en gebruikers soms bewust of onbewust een shortcut waardoor er een gat in de beveiliging ontstaat.

PieterjanDC @SunnieNL • 5 mei 2022 13:05

Of framework developers die server credentials in webpagina's uitprinten

Ablaze @Jim80 • 5 mei 2022 08:18

Het is altijd een compromis tussen gebruiksgemak en security.
Daarnaast heeft alle security een deel obscurity, omdat iemand of iets altijd ergens een sleutel geheimhoudt.
Revolutionaire technologieën worden vaak tegengehouden vanwege bijkomstige problemen, zoals een chip in je lichaam.

Kjoe_Ljan @Jim80 • 5 mei 2022 09:30

Er zijn genoeg middelen om het internet een stuk minder lek te maken, maar dan krijg je van die ministers die hun privéaccounts gaan gebruiken voor zakelijke communicatie.

avlt @Jim80 • 5 mei 2022 09:35

Ik vrees dat dat nooit zal gebeuren. Zolang er mensen bij betrokken zijn, zijn er bewuste of onbewuste fouten of slordigheden mogelijk. Iets kan nog zo goed beveiligd zijn, als jij de sleuteldrager weet te overtuigen, goedschiks of kwaadschiks de sleutel te overhandigen is ieder systeem te compromiteren. Je kan het ze alleen heel moeilijk maken, met het risico dat legitieme gebruikers sluipweggetjes gaan verzinnen, vgl. b.v. het gebruik van privé-email door ministers.

timberleek @Jim80 • 5 mei 2022 09:43

De hele wereld is zo lek als een zeef, niet alleen het internet.

Er zijn stapels oplossingen om veiligheid te verhogen, maar dan moet je ze wel correct toepassen en gebruiken. En ook dan zal er nooit 100% veiligheid zijn. Net zoals, de "echte" wereld.

MazDaMan1970 @Jim80 • 5 mei 2022 10:44

Als jij die revolutionaire technologie zou kunnen ontwikkelen, dan ben je binnen

Even zonder gein, dit is een utopie, niks is 100% veilig te maken, bovendien heb je altijd last vd. menselijke factor, die fouten maakt, of erger nog; die de security omzeilt, want lastig/onwerkbaar.. (voel verder een willekeurige smoes in, om luiheid te maskeren) Onze "geweldige" ministers zijn daar een prima voorbeeld van...

YopY @Jim80 • 5 mei 2022 11:18

Meer technologie zal het niet oplossen, maar het correct toepassen en beheersen van de bestaande technologie wel. Een bedrijf als Heroku heeft jarenlang aan legacy echter, duizenden mensen die in- en uitgegaan zijn, en een ongeluk zoals deze zit in een klein hoekje.

Ik heb ook een reactie gezien van iemand die er dichter bij zit, die zegt dat Heroku qua security achter loopt, te weinig geld, te weinig mensen, security afdelingen van bedrijven die overgenomen worden die ontslagen worden, etc.

Vogel666 @Jim80 • 5 mei 2022 17:08

Een beetje loze praat als je het mij vraagt.
Beveiliging van computers werkt net zo als het beveiligen van je huis.
Om een huis echt veilig te maken moet een huis betonnen muren van meer dan een meter dik en geen deuren en geen ramen hebben. Echter dat huis is zo veilig dat het ook zijn functie verliest.
Zo gauw je een deur toevoegt aan je ontwerp is het huis onveilig. Er is immers een sleutel en die valt dus te stelen/kopieren/of met een lock-picker-setje te omzeilen.
Bij computers is het niet anders. Er zijn gebruikers en beheerders en die moeten toegang hebben en dus gebeuren er ongelukken.
uiteraard kun je de risco's beperken met juiste sloten, politiekeurmereken en kogelwerend glas, maar wie echt wil, komt erin.

thomasmoors @Luchtbakker • 5 mei 2022 08:50

2FA helpt inderdaad zeker te voorkomen dat iemand in dat specifieke account kan inloggen met enkel het wachtwoord dat is buitgemaakt op een andere site. Het helpt echter niet tegen het uitlekken van hashes wanneer een database wordt gestolen. Overigens is dan ook de 2e factor bekend aangezien die zeer waarschijnlijk in dezelfde database staan.

[Reactie gewijzigd door thomasmoors op 23 juli 2024 23:59]

Jim80 @Luchtbakker • 5 mei 2022 09:09

Zo iets heet 2FA.

Waarvan Heroku dus gebruik maakte

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (45)

Sorteer op:

Weergave: