上个月GitHub发现有黑客滥用了授予Heroku及Travis-CI的OAuth使用者权限，以于GitHub存取及下载属于数十个组织的资料，本周四（5/5）Heroku公布了调查结果，指出黑客盗用了一个Heroku机器帐号的权限，取得了进入Heroku资料库的权限，不仅盗走整合GitHub的OAuth权限，也存取了存放客户凭证的资料库。

Salesforce在2010年收购的Heroku为一平台即服务（Platform as a Service，PaaS）供应商，它集结了各种资料服务与生态体系，以让客户得以部署与执行现代化程式，标榜是一个以程式为中心的软体递送服务，并整合许多热门的开发者工具及流程，包括Git、GitHub或各种Continuous Integration（CI）系统。

GitHub是在4月12日发现黑客的非法行为，并于隔天通知Salesforce，旋即展开调查的Heroku发现，黑客盗用了一个Heroku机器帐号的权限，因而得以存取Heroku资料库，并下载了存放于该资料库、整合了GitHub与OAuth的客户权限，除了客户置放于GitHub储存库遭到存取以外，Heroku的GitHub私有储存库也遭殃，内含某些Heroku的原始码。

Heroku已于4月16日撤销所有整合GitHub的OAuth权限，以阻止客户透过自动化或Heroku控制台自GitHub部署程式，将在确认安全无虞之后才会重新启用该功能。

除此之外，Heroku的调查亦发现黑客也利用同样的Heroku权限，存取了存放客户帐号资讯的资料库，内含客户的加盐杂凑密码。

其实Heroku在发表此一完整报告的前一天，便去信要求客户变更它们Heroku帐号的密码，还说若客户未主动变更，Heroku将会执行密码自动重设功能，但当时Heroku并没有作出任何解释，而引起客户的骚动。

现在则真相大白，原来只是简单的Heroku机器帐号遭到盗用，就外洩了客户机密。