La plate-forme 'cloud' Heroku a demandé à ses utilisateurs de modifier leur mot de passe, avant que l'entreprise ne les réinitialise elle-même. Les jetons API expireront également, ce qui fait que les applis tournant sur la plate-forme risquent de ne plus fonctionner et ce, jusqu'à ce qu'un nouveau jeton soit créé. Il s'agit là d'une réaction du fournisseur PaaS à un 'incident de sécurité', par lequel, selon Heroku elle-même, une partie des comptes d'utilisateurs ont été compromis.

GitHub

Cet incident a cependant eu lieu il y a quasiment un mois. En avril, des jetons OAuth d'Heroku et d'une autre entreprise, Travis CI, ont été dérobés, révèle GitHub dans un rapport de sécurité. Au moyen de ces jetons d'authentification, des agresseurs étaient capables de télécharger chez GitHub des données de diverses organisations.

GitHub en a informé à la mi-avril ses clients et Heroku, mais cette dernière n'est apparemment pas parvenue quelques semaines durant ni à comprendre l'importance de la fuite ni à communiquer clairement à son propos. Le fournisseur 'cloud' indique dans son enquête que les agresseurs pouvaient aussi atteindre les propres référentiels GitHub d'Heroku même et éventuellement maîtriser le code-source de la plate-forme. Lors de l'incident, des mots de passe (hachés) d'utilisateurs auraient aussi été dérobés. Voilà pourquoi les mots de passe de tous les comptes sont à présent restaurés à la demande de Salesforce, le propriétaire d'Heroku.

La plate-forme 'cloud' Heroku a demandé à ses utilisateurs de modifier leur mot de passe, avant que l'entreprise ne les réinitialise elle-même. Les jetons API expireront également, ce qui fait que les applis tournant sur la plate-forme risquent de ne plus fonctionner et ce, jusqu'à ce qu'un nouveau jeton soit créé. Il s'agit là d'une réaction du fournisseur PaaS à un 'incident de sécurité', par lequel, selon Heroku elle-même, une partie des comptes d'utilisateurs ont été compromis.Cet incident a cependant eu lieu il y a quasiment un mois. En avril, des jetons OAuth d'Heroku et d'une autre entreprise, Travis CI, ont été dérobés, révèle GitHub dans un rapport de sécurité. Au moyen de ces jetons d'authentification, des agresseurs étaient capables de télécharger chez GitHub des données de diverses organisations.GitHub en a informé à la mi-avril ses clients et Heroku, mais cette dernière n'est apparemment pas parvenue quelques semaines durant ni à comprendre l'importance de la fuite ni à communiquer clairement à son propos. Le fournisseur 'cloud' indique dans son enquête que les agresseurs pouvaient aussi atteindre les propres référentiels GitHub d'Heroku même et éventuellement maîtriser le code-source de la plate-forme. Lors de l'incident, des mots de passe (hachés) d'utilisateurs auraient aussi été dérobés. Voilà pourquoi les mots de passe de tous les comptes sont à présent restaurés à la demande de Salesforce, le propriétaire d'Heroku.