软件公司使用的分析平台 Waydev 披露了一起数据泄露事件。该公司表示黑客入侵其平台并从其内部数据库中窃取 GitHub 和 GitLab OAuth 令牌。
Waydev 是一家位于美国旧金山的公司,运行的平台可通过分析基于 Git 的代码库追踪软件工程师的工作量,为此,Waydev 在 GitHub 和 GitLab 应用商店中运行了一款专门的 app。用户安装这款 app 后,Waydev 会收到一个 OAuth 令牌,用于访问其客户的 GitHub 或 GitLab 项目。Waydev 将该令牌存储在数据库中并为客户生成日常分析报告。Waydev 公司的首席执行官兼联合创始人 Alex Circei 表示,黑客使用一个 SQL 盲注漏洞获得访问数据库的权限,并窃取 GitHub 和 GitLab OAuth 令牌。之后黑客使用其中一些令牌跳转到其它公司的代码库并获得对源代码项目的访问权限。Circei 表示,Waydev 是在一名客户收到 GitHub 安全团队的通知后发现数据泄露事件的,GitHub 检测到来自该客户 Waydev 令牌的可疑活动。Circei 指出他们在7月3日获悉此事并在当天修复了这个已遭利用的漏洞。他们还联合 GitHub 和 GitLab 下架原始应用,撤销了所有的受影响 OAuth 令牌并创建了新的 OAuth 应用,也就实际上使得黑客对 Waydev 客户的 GitHub 和 GitLab 账户的访问失效。Circei 表示,从当前的证据来看,黑客似乎仅获得对少数客户代码库的访问权限。在本文写作之际,两家公司已在本月报告安全事件并归咎于 Waydev,它们是贷款 app Dave.com 和软件测试服务 Flood.io。Waydev 表示已将此事件告知美国当局,“鉴于 GitHub 的隐私策略,它们将亲自通知受影响用户。如果你也受影响,请联系我们 (security@waydev.co),和当局获得联系。”Circei 指出整合网络安全公司 Bit Sentinel 调查这起事件,并表示已采取其它安全防护措施保护 Waydev 账户的安全,如:Waydev 罕见地发布透明度报告,说明了和黑客相关的妥协指标,如邮件地址、IP地址和 user-agent 字符串——现在已经很少有公司这么做了。黑客的IP地址:193.169.245.24、185.230.125.163、66.249.82.0、185.220.101.30、84.16.224.30、185.161.210.xxx、151.80.237.xxx、 185.161.210.xxx、81.17.16.xxx、190.226.217.xxx、186.179.100.xxx、102.186.7.xxx、72.173.226.xxx和27.94.243.xxx。
User Agent: Mozilla/5.0(X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
邮件地址: saturndayc@protonmail.com、ohoussem.bale6@sikatan.co、5abra.adrinelt@datacoeur.com和4monica.nascimene@vibupis.tk
除了发布这些妥协指标外,Waydev 公司还在支持页面公布了如何查看自己的日志是否遭入侵的指南。详见:https://changelog.waydev.co/github-oauth-security-update-dw98s
https://www.zdnet.com/article/hackers-stole-github-and-gitlab-oauth-tokens-from-git-analytics-firm-waydev/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~