Waydev 服务客户凭据泄露事件
# GitHub市场应用 Waydev 服务客户凭据泄露事件
# Waydev 平台
Waydev
- 一个工程团队使用的分析平台,SaaS 架构。
- 通过分析基于 gitbase 的代码库,来跟踪软件工程师的工作输出。
- 用户可以通过 Waydev 在 GitHub App 商店中提供的应用,来使用此服务。
客户在使用 Waydev 服务时,客户需要提供其 GitHub IAM 服务所生成的 OAuth token,以便 Waydev 访问客户在 GitHub 上部署的项目。
# 技术原理
# 数据库明文存储
Waydev 将这些客户的 GitHub OAuth token 以明文形式保存在内部数据库中。
攻击者通过传统的入侵手段,成功的入侵 Waydev 公司内部数据库,并窃取了数据库中的客户凭据。
攻击者利用窃取到的 GitHub IAM 凭据,成功访问客户代码仓库,从而窃取项目源代码。
# 影响
此次 云IAM 凭据泄露事件,对 Waydev 的客户造成了严重的影响。
以数字银行应用 Dave.com 为例,在此次事件中,由于 Dave.com 存储于 Waydev 中的 IAM 凭据被窃取,导致 Dave.com 750万用户数据泄露,对 Dave.com 造成了严重的损失。
编辑 (opens new window)