গত সপ্তাহে আমরা এখানে ব্লগে ভাগকিছু খবর যে পরিচিত করা হয়েছে হ্যাকিং কেস সম্পর্কে a এনভিডিয়া এবং হ্যাকার গ্রুপ Lapsus$ দ্বারা স্যামসাং, যিনি Ubisoft থেকে তথ্য অ্যাক্সেস করতেও পরিচালনা করেছিলেন।
এবং এটি এটি সম্প্রতি GitGuardian তথ্যের জন্য Samsung এর সোর্স কোড স্ক্যান করেছে গোপনীয়, যেমন গোপন কী (API কী, সার্টিফিকেট) এবং তাদের মধ্যে 6695টি আবিষ্কার করা হয়েছে। এই ফলাফলটি একটি বিশ্লেষণের সময় প্রাপ্ত হয়েছিল যা 350 টিরও বেশি পৃথক ডিটেক্টর ব্যবহার করেছিল, প্রত্যেকে এক ধরণের গোপন কী-এর নির্দিষ্ট বৈশিষ্ট্যগুলি সন্ধান করে, দুর্দান্ত নির্ভুলতার সাথে ফলাফল দেয়।
এ অনুসন্ধানে গবেষকরা ড GitGuardian বর্জিত ফলাফল জেনেরিক হাই-এনট্রপি ডিটেক্টর এবং জেনেরিক পাসওয়ার্ড ডিটেক্টর থেকে, যেহেতু তারা সাধারণত মিথ্যা ইতিবাচক অন্তর্ভুক্ত করতে পারে এবং তাই স্ফীত ফলাফল তৈরি করতে পারে। এটি মাথায় রেখে, গোপন কীগুলির প্রকৃত সংখ্যা অনেক বেশি হতে পারে।
যারা GitGuardian এর সাথে পরিচিত নন, আপনার জানা উচিত যে এটি একটি কোম্পানি যা 2017 সালে জেরেমি থমাস এবং এরিক ফোরিয়ার দ্বারা প্রতিষ্ঠিত হয়েছিল এবং যেটি 2021 FIC স্টার্ট-আপ অ্যাওয়ার্ড পেয়েছে এবং FT120 এর সদস্য।
কোম্পানিটি গোপন কীগুলির সনাক্তকরণে একজন বিশেষজ্ঞ হিসাবে নিজেকে প্রতিষ্ঠিত করেছে এবং বিকাশকারীদের অভিজ্ঞতাকে বিবেচনায় নিয়ে অ্যাপসেক বাস্তবায়নের চারপাশে ভাগ করা দায়িত্বের মডেল মেনে চলা সমাধানগুলির উপর তার R&D প্রচেষ্টাকে ফোকাস করে।
আমরা ফলাফলের সংক্ষিপ্তসারে দেখতে পাচ্ছি, প্রথম আটটি ফলাফল আবিষ্কারের 90% প্রতিনিধিত্ব করে এবং, যদিও এটি অত্যন্ত সংবেদনশীল তথ্য, এটি আক্রমণকারীর পক্ষে ব্যবহার করা আরও কঠিন হতে পারে, কারণ এটি সম্ভবত অভ্যন্তরীণ সিস্টেমকে বোঝায়।
এই মাত্র 600 টি গোপন প্রমাণীকরণ কী ছেড়ে যায় যেগুলি বিভিন্ন পরিষেবা এবং সিস্টেমের বিস্তৃত পরিসরে অ্যাক্সেস প্রদান করে যা একজন আক্রমণকারী অন্যান্য সিস্টেমে পার্শ্ববর্তীভাবে প্রবেশ করতে ব্যবহার করতে পারে।
» স্যামসাং সোর্স কোডে পাওয়া 6600টিরও বেশি কীগুলির মধ্যে প্রায় 90% অভ্যন্তরীণ স্যামসাং পরিষেবা এবং অবকাঠামোর জন্য, যখন গুরুত্বপূর্ণ বাকি 10% স্যামসাং থেকে বাহ্যিক পরিষেবা বা সরঞ্জামগুলিতে অ্যাক্সেস প্রদান করতে পারে, যেমন AWS, GitHub, শিল্পকর্ম এবং Google,” GitGuardian-এর ডেভেলপার অ্যাডভোকেট ম্যাকেঞ্জি জ্যাকসন ব্যাখ্যা করেছেন।
একটি সাম্প্রতিক GitGuardian রিপোর্ট দেখিয়েছে যে গড়ে 400 ডেভেলপার সহ একটি সংস্থায়, অভ্যন্তরীণ সোর্স কোড রিপোজিটরিতে 1000টিরও বেশি গোপন কী পাওয়া যায় (সোর্স স্টেট অফ সিক্রেটস স্প্রল 2022)৷
যদি এই ধরনের গোপন কীগুলি ফাঁস হয়, তবে এটি স্যামসাংয়ের ক্ষমতাকে প্রভাবিত করতে পারে নিরাপদে ফোন আপডেট করতে, প্রতিপক্ষকে গ্রাহকের সংবেদনশীল তথ্যে অ্যাক্সেস দিতে, বা অন্যান্য আক্রমণ শুরু করার ক্ষমতা সহ স্যামসাংয়ের অভ্যন্তরীণ অবকাঠামোতে তাদের অ্যাক্সেস দিতে।
ম্যাকেঞ্জি জ্যাকসন যোগ করেছেন:
এই আক্রমণগুলি এমন একটি সমস্যা প্রকাশ করে যা নিরাপত্তা শিল্পে অনেকের কাছেই এলার্ম উত্থাপিত হয়েছে: অভ্যন্তরীণ সোর্স কোডে ক্রমবর্ধমান সংবেদনশীল ডেটা রয়েছে, তবুও এটি একটি অত্যন্ত অবিশ্বস্ত সম্পদ রয়ে গেছে। সোর্স কোড কোম্পানী জুড়ে বিকাশকারীদের জন্য ব্যাপকভাবে উপলব্ধ, বিভিন্ন সার্ভারে ব্যাক আপ করা, বিকাশকারীদের স্থানীয় মেশিনে সংরক্ষণ করা এবং এমনকি অভ্যন্তরীণ ডকুমেন্টেশন বা ইমেল পরিষেবার মাধ্যমে ভাগ করা। এটি তাদের প্রতিপক্ষের জন্য একটি খুব আকর্ষণীয় লক্ষ্য করে তোলে এবং তাই আমরা এই আক্রমণগুলির ফ্রিকোয়েন্সিতে একটি স্থিরতা দেখতে পাই।"
Lapsus$ টেলিগ্রাম চ্যানেলে, আমরা দেখতে পাব যে হ্যাকার গোষ্ঠী কীভাবে এই রিপোজিটরিগুলিতে অ্যাক্সেস লাভ করে তা মূলত বড় প্রতিষ্ঠানের কর্মীদের কাছে তাদের অ্যাক্সেস প্রকাশ করার জন্য একটি কল পাঠানোর মাধ্যমে।
দুর্ভাগ্যবশত, আমরা এই ধরনের আক্রমণ দেখেও শেষ করিনি, গ্রুপটি এখন আবার তাদের টেলিগ্রাম চ্যানেলের মাধ্যমে পোল শেয়ার করছে, তাদের শ্রোতাদের জিজ্ঞাসা করছে তাদের পরবর্তী সোর্স কোড কী ফাঁস করা উচিত, ইঙ্গিত করে যে আরও অনেক ফাঁস হওয়ার সম্ভাবনা রয়েছে। অভ্যন্তরীণ সোর্স কোডের ভবিষ্যতে
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি বিশদ পরীক্ষা করতে পারেন নীচের লিঙ্কে।