AR ホームベーカリー

オイラのアウトプット用ホームベーカリー!

heroku のインシデントとパスワードリセット

全然続報がないし、メールでお知らせも来てないからセーフなのか? と思ってたら、連休中に Heroku security notification - resetting user account passwords on May 4, 2022 とか来て笑っちゃっていた。

いやなんも笑えんが。 けど笑うしかない。

いやパスワード強制リセットってなんね、と思っていたら、 status.heroku.com で説明が書いてあった。

Separately, our investigation also revealed that the same compromised token was leveraged to gain access to a database and exfiltrate the hashed and salted passwords for customers’ user accounts. For this reason, Salesforce is ensuring all Heroku user passwords are reset and potentially affected credentials are refreshed. We have rotated internal Heroku credentials and put additional detections in place. We are continuing to investigate the source of the token compromise.

ファーまじ? 2022 年イチ、パンチあるインシデントになりそう……。

ちなみに僕がメールうけとったのは 2022/05/04 9:01 JST で、上記のポストは Posted a day ago, May 5, 2022 02:21 UTC となっていた。

時系列的に、「ユーザへのメール通知を先にやったのか〜?」という感じだけど、メールもメールでだいぶふわふわした内容で「なんでパスワード君をリセットなされる……?」となり困惑してしまった。heroku くん大変なのは分かるけど、この May 5, 2022 02:21 UTC の内容全部メールに記載してもよかったよね? という感じある。

現状 reviewapp 使えなくて、見てる範囲のチームが開発に支障出始めてて大変そうダナって感想でした。

Oauth トークン強制無効化されると、連携してたアプリが 403 Forbidden になる、って理解でいいのかなこれ? 一応全部無効化して再接続も許してないけど、どうなるのやら。