Ранее на этой неделе мы рассказывали об утечке данных, произошедшей у финансово-технического «единорога», компании Dave. В общей сложности в сеть попала информация 7 516 625 пользователей, включая настоящие имена, номера телефонов, email-адреса, даты рождения, домашние адреса, а также пароли и номера социального страхования в зашифрованном виде.
Представители Dave заявляли, что утечка произошла по вине бывшего делового партнера компании, аналитической платформы Waydev. Якобы из-за халатности со стороны Waydev, злоумышленники смогли получить несанкционированный доступ к данным о пользователях Dave.
Теперь разработчики Waydev подтвердили, что в начале месяца неизвестные хакеры действительно похитили OAuth-токены компании от GitHub и GitLab. Из-за этого оказались взломаны как минимум две компании-клиента Waydev: Dave и Flood.io.
Дело в том, что платформа Waydev используется для мониторинга результатов работы разработчиков ПО, путем анализа кодовых баз Git. Для этого Waydev имеет специальное приложение на GitHub и GitLab. Когда пользователи устанавливают это приложение, Waydev получает токен OAuth, который может использоваться для доступа к проектам клиентов на GitHub или GitLab. Waydev хранит токены в своей БД и ежедневно использует их для создания аналитических отчетов для клиентов.
Представители компании говорят, что хакеры обнаружили некую уязвимость и осуществили SQL-инъекцию, чтобы добраться до БД Waydev и похитить токены. Затем злоумышленники использовали токены, чтобы перейти к кодовым базам других компаний и получить доступ к их проектам.
В компании заявляют, что обнаружили атаку 3 июля 2020 года и в тот же день исправили уязвимость, использованную злоумышленниками. Также инженеры Waydev сотрудничали со специалистами GitHub и GitLab, чтобы отозвать все пострадавшие токены OAuth.
В настоящее время в Waydev уверены, что хакеры получили доступ к кодовым базам небольшого числа клиентов. Так, пока известно лишь о двух пострадавших — уже упомянутой выше компании Dave и сервисе для тестирования ПО Flood.io.
Сейчас компания расследует случившееся вместе с правоохранительными органами и ИБ-экспертами из компании Bit Sentinel. Чтобы потенциальным пострадавшим было легче обнаружить подозрительную активность, представители Waydev уже обнародовали индикаторы компрометации, связанные с неизвестными злоумышленниками, включая адреса электронной почты, IP-адреса и user agent.
- IP-адреса:169.245.24, 185.230.125.163, 66.249.82.0, 185.220.101.30, 84.16.224.30, 185.161.210.xxx, 151.80.237.xxx, 185.161.210.xxx, 81.17.16.xxx, 190.226.217.xxx, 186.179.100.xxx, 102.186.7.xxx, 72.173.226.xxx, 27.94.243.xxx.
- User agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
- Адреса электронной почты:saturndayc@protonmail.com, ohoussem.bale6@sikatan.co, 5abra.adrinelt@datacoeur.com и 4monica.nascimene@vibupis.tk.