一部のユーザーによると、Salesforce が所有するクラウド プラットフォーム Heroku による最近のセキュリティ インシデントへの対応の取り組みは、ちょっとした惨事になりつつあるという。
Heroku は 18 日間にわたってセキュリティ インシデントの通知を実行しましたが、オープン性とコミュニケーションが不足しているとの認識から、一部の顧客に不快感を与えているようです。
それで、GitHub、Heroku、そして襲撃されたプライベートリポジトリで何が起こったのでしょうか?
詳細なコンテキスト
5 月 3 日午前 0 時 (UTC) 直前の最新のステータス更新では、次のように述べられています。「Heroku の一部のお客様は、セキュリティ強化に向けた弊社の継続的な取り組みについて、Salesforce Incident Alerts ([email protected]) から直接メール通知を受け取ります。」
「ユーザーアカウントのパスワードをリセットすることをお勧めします」というのが、プラットフォームのサポートが提供できる最良のアドバイスだと、Hacker NewsのHerokuユーザー1人が述べた。他のユーザーは、このアドバイスの背後に何が隠されているのか、健全な好奇心を抱いていた。
ある顧客は、Salesforce のインシデント ハンドラーに、「設定変数とシークレットがアクセスされたかどうか、または不明であるかどうかを確認する声明」を提供するよう依頼したと述べています。
投稿によると、彼らは次のような返答を受け取ったとのことです。「現在、Heroku のお客様の設定変数に保存されている秘密情報にアクセスされたという証拠はありません。お客様の秘密情報への不正アクセスの証拠が見つかった場合は、影響を受けるお客様に遅滞なく通知いたします。」
「証拠がない」が単に Heroku が知らなかったことを意味するのかどうかが明確でなかったため、ユーザーはさらに不安を募らせた。
「証拠なしの法則:何かについて『証拠がない』という主張は、でたらめの証拠である」とあるユーザーは指摘した。
「これは完全な大惨事になりつつあり、顧客とのコミュニケーションの取り方を間違えたケーススタディとなっている」と別の人物は付け加えた。
この事件は、Heroku の GitHub アクセス トークンが侵害されたときに始まりました。
4月15日の声明では、「2022年4月13日にGitHubから受け取った、HerokuのGitHubプライベートリポジトリのサブセット(一部のソースコードを含む)が2022年4月9日に脅威アクターによってダウンロードされたという報告について、現在積極的に調査を行っています。この問題についてはHerokuのお客様に事前に通知しており、調査が続く限り、お客様を支援するためにアップデートを提供し続けます。」と述べられている。
- クラウド ステータス ページが現実を反映していないのはなぜでしょうか?
- Xero、Slackが停止、Let's Encryptのルート証明書の有効期限切れで他のウェブサイトやサービスも停止
- Herokuを模倣するために作られた:最高技術責任者によるCloud Foundryの説明
- マイクロサービスの第一人者はKubernetesではなくサーバーレスを考えるべきだと語る。「巨大な建造物」を管理したくないはずだ
このニュースは、GitHub Securityが4月12日に発表した声明を受けてのものだ。声明では、調査の結果、攻撃者がHerokuとTravis-CIに発行された、ウェブサイトやアプリケーションのアクセス委任のためのオープンスタンダードである盗まれたOAuthユーザートークンを悪用し、複数の組織からデータをダウンロードしていたことが判明したと述べられている。
GitHubは4月27日までに、影響を受けた顧客に最終通知を送付したと発表し、攻撃者はHerokuとTravis CIに発行された盗んだOAuthトークンを使用してユーザー組織をリスト化し、その後ターゲットを選択してプライベートリポジトリを複製したと述べた。
GitHub によると、攻撃者の行動パターンを分析した結果、攻撃者は非公開リポジトリのリストアップとダウンロードの対象となるアカウントを特定するために組織のリストアップのみを行っていたことが示唆されたという。
この事件に関する私たちの分析はここで読むことができます。
The Register はHeroku の親会社である Salesforce にコメントを求めました。®
