Platform-as-a-Service Heroku heeft besloten om van een niet nader genoemd aantal gebruikers vandaag de wachtwoorden te resetten. Aanleiding is een omvangrijk beveiligingsincident dat vorige maand al plaatsvond. Er is echter de nodige kritiek op de aankondiging van de wachtwoordreset.

Vorige maand werd bekend dat een aanvaller toegang had gekregen tot het GitHub-account van Heroku. Daarnaast bleek dat de aanvaller tokens van Heroku-klanten in handen had gekregen waarmee hij toegang tot GitHub-repositories van deze klanten had. Heroku biedt een cloudapplicatieplatform met GitHub-integratie, waarbij programmeurs code die op GitHub staat kunnen uitrollen naar apps die op Heroku draaien.

Ontwikkelaars gebruiken Heroku daarbij als platform voor het uitrollen, beheren en opschalen van applicaties. Voor de communicatie tussen Heroku en GitHub wordt gebruikgemaakt van tokens. Een aanvaller die over een token beschikt kan dezelfde acties uitvoeren als de Heroku-gebruiker en heeft zo ook toegang tot de GitHub-repository van de klant.

Vandaag ontvingen Heroku-klanten een e-mail waarin wordt gemeld dat Heroku vandaag de wachtwoorden van gebruikers zal resetten. In hetzelfde bericht adviseert het bedrijf om het wachtwoord al van tevoren te resetten. De e-mail kan op de nodige kritiek rekenen. Het bericht is namelijk afkomstig van Salesforce, dat de eigenaar is van Heroku.

Critici stellen dat Heroku het bericht echter uit eigen naam had moeten versturen. Ook eisen klanten dat het bedrijf volledige openheid over het beveiligingsincident geeft, aangezien de volledige impact nu niet duidelijk is. De wachtwoordreset zorgt er daarnaast voor dat alle API access tokens ongeldig worden. Om downtime met applicaties te voorkomen moeten gebruikers dan ook verschillende instructies volgen.