헤로쿠의 오오스 토큰 도난 사건, 고객들의 크리덴셜 정보도 도난당해

Study/Security News

jxx_yxjx 2022. 5. 8. 22:23

세일즈포스(Salesforce)의 자회사인 헤로쿠(Heroku)가 최근 발생한 오오스(OAuth) 토큰 관련 사건에 대한 추가 사실을 발표했다. 지난 4월 사이버 공격자들이 헤로쿠의 깃허브 통합용 오오스 토큰을 훔

m.boannews.com

1. 헤로쿠가 오오스 토큰을 도난당하여 헤로쿠 내부 데이터베이스에 대한 접근과 다운로드가 진행되었다.

2. 공격자들은 헤로쿠 앞으로 발행된 오오스 토큰들에 접근하여 고객 계정들에 접속할 수 있었다.

3. 이 외에도, 공격자들이 해시 처리된 사용자 이름과 비밀번호에까지 접근했다고 한다.

4. 토큰이 도난당하면 서비스와 관련된 각종 데이터 공격이 가능하게 되므로 각별한 주의가 필요하다.