Twll Diogelwch yng Ngwasanaeth Postio Heroku

Twll Diogelwch yng Ngwasanaeth Postio Heroku 1

Datgelodd Heroku ein gwybodaeth cronfa ddata breifat yn ddiweddar oherwydd bregusrwydd diogelwch difrifol yn eu gwasanaeth e-bost. Roeddwn i eisiau rhannu’r twll diogelwch hwn gyda datblygwyr eraill a chwsmeriaid Heroku a allai gael eu heffeithio.

Yn gyffredinol rydym wedi cael profiad gwych gyda Heroku ac wedi bod yn gwsmeriaid ers i ni ddechrau Kapwing. Ni fwriedir i’r erthygl hon fod yn adolygiad deifiol o Heroku, ond credaf y dylai gwefeistri gwe eraill wybod am y digwyddiad diogelwch hwn ac y dylai Heroku roi mwy o wybodaeth yn gyhoeddus i bawb yr effeithiwyd arnynt.

Digwyddiad

Ar Dachwedd 9, anfonodd asiant cymorth gan mLab, ein darparwr cynnal cronfa ddata, e-bost at ein cyfeiriad e-bost gweinyddol Heroku, [email protected]. Roedd yr e-bost yn cynnwys gwybodaeth breifat am ein gwe-app, gan gynnwys ein ID cronfa ddata mLab, nifer y cysylltiadau agored, a set o IPs gweithredol gyda chysylltiadau agored.

Cafodd sawl aelod o dîm peirianneg Kapwing, gan gynnwys fi, yr e-bost hwn fel e-byst [email protected] ewch i unrhyw un sydd wedi tanysgrifio i’r rhestr bostio hon o’n cyfrif Heroku. Ni ddylai defnyddwyr diawdurdod allu tanysgrifio i’r e-bost @herokumanager gan ei fod yn alias preifat ar gyfer ein cyfrif Heroku.

Ymatebodd defnyddiwr trydydd parti ar hap nad oeddem erioed wedi clywed amdano i’r e-bost, gan ofyn “Pam ydw i ar yr e-byst hyn? Rwy’n a [Heroku] Cwsmer ond nid hwn yw fy nghyfrif.” Roedd wedi derbyn yr e-bost mewn camgymeriad a chafodd ei dderbyn gan BCC ar yr edefyn gan mLab. Dywedodd yn ddiweddarach fod gan ei app gyfrif gyda Heroku ond nad oedd erioed wedi clywed am Kapwing.

E-bost gan ddieithryn

Mae cyfeiriad e-bost y person yn cynnwys enw cyntaf gweinyddwr ein cyfrif Heroku – “david” – yn y parth ond fel arall nid oes ganddo unrhyw debygrwydd semantig i gyfeiriadau e-bost ein cwmni.

Twll Diogelwch wedi’i Gadarnhau

Pan wnaethom ddilyn i fyny gyda chefnogaeth Heroku heddiw, maent yn cadarnhau eu bod nifer o bobl ar hap heb awdurdod wedi cael yr e-bost i [email protected].

O Heroku: “Ar Dachwedd 13, 2019, hysbyswyd tîm Diogelwch Salesforce bod PremiereRush [the Heroku email service] wedi bod yn dosrannu cyfeiriadau tîm yn anghywir, gan achosi i dderbynwyr anfwriadol gael eu copïo ar e-byst.”

E-bost gan Heroku

Nid ydym yn sicr i ba raddau y mae’r nam hwn na faint o bobl yr effeithiwyd arnynt, ond dylai cwsmeriaid Heroku wybod y gallai eu henw arall @HerokuManager gynnwys defnyddwyr anawdurdodedig ar BCC. Bwriad yr e-bost @HerokuManager yw bod yn rhestr bostio breifat ar gyfer gweinyddwyr cyfrifon ac i helpu gyda dilysu ategion trydydd parti, felly gall y byg diogelwch hwn ddatgelu data cyfrinachol i gynulleidfa anfwriadol.

Fe wnaethom ffeilio tocyn diogelwch gyda Heroku ddydd Sul Tachwedd 10. Ymatebodd cynrychiolydd cefnogi Heroku y diwrnod wedyn gan ddweud wrthym fod y mater yn debygol o gael ei achosi gan gamgymeriad dynol (naill ai gweinyddwr Kapwing neu anfonwr mLab CC yn anfon yr e-bost yn ddamweiniol). Aethom ati wedyn i ailddatgan na allai hyn fod yn wir o bosibl. Nid tan ddydd Gwener Tachwedd 15 y cadarnhaodd Heroku y twll diogelwch.

Rwy’n rhagweld y bydd Salesforce Security neu Heroku yn cyhoeddi mwy o wybodaeth am bwy yr effeithiwyd arnynt a sut i ymateb cyn gynted â phosibl.

Ydw i’n cael fy Effeithio?

Os deallaf yn iawn, efallai y bydd y twll diogelwch hwn yn effeithio arnoch:

  • Mae gennych gyfrif gyda Heroku
  • Mae’ch ap yn defnyddio unrhyw ategion Heroku trydydd parti fel Sentry, New Relic, mLab, Redis, AppDynamics, ac ati.
  • Rydych chi erioed wedi defnyddio cyfeiriad e-bost @HerokuManager ar gyfer cyfathrebu mewnol neu ddilysu