Heroku Security Incident [2413]

[rougeth]

Link: https://status.heroku.com/incidents/2413?updated

Ainda não se sabe se ouve vazamento das variáveis de ambiente, mas por precaução, vou:

• Rotacionar credenciais definidas em variáveis de ambiente
• Resetar senha dos associados
• Avisar associados por email

[rougeth]

Acesso ao S3, onde enviamos os arquivos estáticos do site, estava configurado com access key e secret key do usuário root na AWS.

• Criei uma policy e um usuário com permissões específica para o bucket usado.
• Cancelei acesso via API direto pelo usuário root (vamos descobrir se mais alguma coisa dependia desse acesso 🙃)

[rougeth]

Alterei a chave de acesso da API do SendGrid. Não tínhamos registrado qual usuário e senha era usado na conta, mas consegui resetá-la.

[rougeth]

SECRET_KEY não estava definida no Heroku, o que significa que estávamos usando o valor commitado no código: apyb/associados#244.

[rougeth]

Chave de acesso da API do Pagseguro rotacionada.

[rougeth]

Credenciais do banco de dados no Heroku atualizadas usando o comando abaixo:

$ heroku pg:credentials:rotate

[rougeth]

Sentry DSN atualizado.

[rougeth]

Criei uma migração para resetar senha de todos os usuários do site: apyb/associados#245

Dessa forma, podemos revisar o código que será executado e não precisaremos fazer nada manualmente.

[rougeth]

Migração execução e senhas foram resetadas, porém comando falhou em outra migração - apyb/associados#246.

Já testei o processo de redefinição de senha e também funcionou.

[rougeth]

E-mail enviado para os associados e associadas.

[rougeth]

Como o Heroku ainda está com o incidente aberto, vou esperar mais alguns dias para fechar a issue.

[rougeth]

Como o Heroku ainda está com o incidente aberto, vou esperar mais alguns dias para fechar a issue.

Heroku finalizou o o incidente. Nenhum item pendendo para ser feito pela APyB, fechando issue.