ایتنا - پلتفرم تحلیلی Waydev که از سوی بسیاری از سایتها و شرکتهای نرمافزاری مورد استفاده قرار میگیرد از وقوع یک نقص امنیتی مهم خبر داده است.
سه شنبه ۷ مرداد ۱۳۹۹ ساعت ۱۰:۲۸
حمله هکرها به توکنهای گیت هاب
هکرها با نفوذ به پلتفرم Waydev توانستند توکنهای سایتهای مهم و مشهوری همچون گیتهاب، GitLab OAuth و غیره را از پایگاه داده داخلی آن سرقت کنند.
به گزارش ایتنا از فارس، Waydev یک شرکت نرمافزاری در سان فرانسیسکو است که پلتفرم آن برای ردگیری فعالیت مهندسان نرم افزار و تحلیل کدهای پایه سایت گیت هاب نیز مورد استفاده قرار میگیرد. Waydev از اپلیکیشنی ویژه برای تسهیل این امور استفاده میکند که از طریق فروشگاههای آنلاین گیت هاب و گیت لب در دسترس است.
زمانی که کاربران اپلیکیشن یادشده را نصب میکنند، Waydev یک توکن OAuth را دریافت میکند که می تواند از آن برای دسترسی به طرحهای گیت هاب یا گیت لب مشتریان استفاده کند. فروشگاههای Waydev این توکن را در پایگاههای داده خود ذخیره میکنند و از آن به صورت روزانه برای تولید گزارش های تحلیلی برای مشتریان استفاده میکنند.
هکرها با نفوذ به پایگاه داده اس کیو ال این سایت و تزریق کدهای مخرب خود توانسته اند به محتوای آن دسترسی یابند و توکنهای گیت هاب و گیت لب را سرقت کنند. سپس از این اطلاعات برای دسترسی به طرح های سایر شرکتها استفاده شده است.
حمله یادشده در تاریخ 3 جولای رخ داده و برای رفع آن یک وصله نرمافزاری به روزرسان عرضه شده است. اما عامل یا عوامل این حمله هنوز شناسایی نشده اند.
کد مطلب: 61770
