ACTION REQUIRED: Heroku Security Notification

    Moin heute morgen hatte ich folgende Mail im.postfach,

    Haben das auch andere bekommen oder ist lediglich mein individueller account betroffen?

    Kann jemand mit it-Verständnis sagen ob mich das interessieren muss? Also kann man damit auf mein Handy hacken, oder sind lediglich meine nightscout Daten kompromitiert?



    "At Salesforce, we understand that the confidentiality, integrity, and availability of your data are vital to your business, and we take the protection of your data very seriously. We value transparency and wanted to notify you of an incident we're actively investigating that may lead to unauthorized access to your GitHub repositories connected to Heroku.


    Please visit status.heroku.com for additional information. If Salesforce becomes aware of unauthorized access to customer GitHub repositories connected to Heroku, we will notify affected customers by email without undue delay.



    Thank you,

    Salesforce"

    Es scheint sich nur um die Möglichkeit zu handeln, dass etwas passiert. Daher wurde die direkte Verbindung zwischen GitHub und heroku gekappt, die eigentlich per Token zur Verfügung gestellt wird. Das bedeutet im Augenblick wohl nur, dass man nicht mehr direkt aus GitHub heraus eine App bei heroku installieren kann. Die App, die schon läuft - bei uns ja meistens Nightscout - läuft aber einfach weiter.

    Also, erstmal nichts weiter zu tun, denke ich.

    Eine Frage an die Heroku User - wie habt Ihr das mit der MongoDB gelöst ? Letztes Jahr wurde ja der DB Treiber in Heroku gelöscht.

    Deswegen bin ich zu Tidepool gewechselt. Ich trauere den Nightscout Reports nach....

    Zitat von zuckermurks

    Eine Frage an die Heroku User - wie habt Ihr das mit der MongoDB gelöst ? Letztes Jahr wurde ja der DB Treiber in Heroku gelöscht.

    Deswegen bin ich zu Tidepool gewechselt. Ich trauere den Nightscout Reports nach....

    Ich habe damals den Umzug nach dieser Video-Anleitung gemacht:


    Viele Grüße


    Zuckerguss

    Ich muss nun auch mal nachfragen:


    Heute kam eine weitere Mail mit der Ankündigung, dass alle Heroku accounts sukzessive ein Passwort reset erhalten und man es ggf. einfach schon vorab selber ändern sollte.


    Meine Frage:

    Wenn ich das Passwort zu Heroku ändere, muss ich dann dieses Passwort irgendwo anders hinterlegen/ändern, damit alles weiter läuft? Ich habe es vor langer Zeit nach Video-Anleitung gemacht (MongoDB) und bin dann ebenfalls per Video zu Atlas umgezogen.


    Bei Heroku steht zumindest schonmal, dass sich mit Passwortänderung auch der API key ändert (den man weiter unten sehen kann) - Was das impliziert, weiß ich nicht.


    Mein Setting:

    Nightscout per Heroku und Atlas


    zuckermurks: Damit funktioniert der Reporter weiterhin super.

    Ich habe einfach wie gefordert mein Passwort geändert, sonst nichts. Die 2 Faktor Authentifizierung hatte ich schon vorher. Ich teste gerade CAM APS FX, daher sende ich keine Daten zu Nightscout, aber die Seite an sich lässt sich ganz normal öffnen. Auch Profile und Auswertungen sind verfügbar.

    Optimismus ist Mangel an Detailkenntnis

    Update für alle, die sich ggf. ähnliche Gedanken wie ich gemacht haben und auch nicht mehr genau wussten, was sie vor Jahren da mit GitHub, Heroku, Mongo, Atlas, Nightscout etc. veranstaltet haben... ;)


    Heute wurde ich von Heroku vor vollendete Tatsachen gestellt - LogIn ging nicht mehr "There's a problem with your login" - Eine weitere explizite Nachricht, dass mein spezifischer Account ein reset erhalten hätte gab es nicht.

    Ich habe dann zunächst Nightscout und den Reporter getestet - liefen problemlos wie bisher

    Ich habe dann über "forgot password" ein neues Passwort für Heroku generiert.

    Auch danach liefen Nightscout & der Reporter problemlos.


    Ich habe dann nochmal etwas genauer geschaut und versucht, das mit den Passwörtern zu verstehen.

    Die "Angst", dass eine Passwortänderung für Heroku woanders Probleme bereiten könnte war/ist wohl unbegründet. Das Passwort, das Nightscout & der Reporter kennen müssen, findet sich in den ConfigVars der "app", die man eingerichtet hat und die auf dem Heroku Dashboard zu sehen ist (für die meisten hier dürfte das eben Nightscout sein - mit dem Namen, den man selbst dafür vergeben hat)

    NightscoutApp/Settings/Config Vars

    Api_secret


    Ich kann mich nicht mehr recht erinnern, aber das globale Heroku Passwort wird wohl (nur) interessant sein, wenn man (z.B. aus GitHub) eine weitere app installieren will. - So wie es Ekke weiter oben ja schon geschrieben hat.