ফেডারেল তদন্ত ব্যুরো (এফবিআই) গত অক্টোবরে একটি সতর্কতা পাঠিয়েছে সংস্থাগুলি এবং সরকারী প্রতিষ্ঠানের সুরক্ষা পরিষেবাগুলিতে to
ডকুমেন্টটি গত সপ্তাহে ফাঁস হয়েছিল অজানা হ্যাকাররা দুর্বলতার সুযোগ নিয়েছে বলে দাবি করেছে সোনারকিউব কোড যাচাইকরণ প্ল্যাটফর্মে উত্স কোড সংগ্রহস্থল অ্যাক্সেস করতে। এটি সরকারী সংস্থা এবং বেসরকারী সংস্থাগুলির উত্স কোড ফাঁসের দিকে পরিচালিত করে।
এফবিআই সতর্কতা সোনারকিউব মালিকদের সতর্ক করেছে, এমন একটি ওয়েব অ্যাপ্লিকেশন যা সংস্থাগুলি তাদের সফ্টওয়্যারগুলিতে সংহত করে উত্স পরিবেশে কোড এবং অ্যাপ্লিকেশন প্রকাশের আগে সুরক্ষা কোড পরীক্ষা করে সুরক্ষা গর্ত আবিষ্কার করতে চেইন তৈরি করে।
হ্যাকাররা পরিচিত কনফিগারেশন দুর্বলতার সুযোগ নিয়েছে, তাদের মালিকানাধীন কোড অ্যাক্সেস করতে, এটি বিশদকরণে এবং ডেটা প্রকাশ করার অনুমতি দেয়। এফবিআই একাধিক সম্ভাব্য কম্পিউটার অনুপ্রবেশ সনাক্ত করেছে যা সোনারকিউব কনফিগারেশন দুর্বলতার সাথে সম্পর্কিত লিকের সাথে সম্পর্কিত।
এর অ্যাপ্লিকেশন সোনারকিউব ওয়েব সার্ভারে ইনস্টল করা আছে এবং কোড হোস্টিং সিস্টেমের সাথে সংযুক্ত করুন BitBucket, GitHub, বা GitLab অ্যাকাউন্টগুলি বা Azure DevOps সিস্টেমের মতো উত্স।
এফবিআই মতে, কিছু সংস্থাগুলি এই সিস্টেমগুলি সুরক্ষিত রেখে দিয়েছে, এটির ডিফল্ট কনফিগারেশন (পোর্ট 9000 এ) এবং ডিফল্ট প্রশাসনের শংসাপত্রগুলি (অ্যাডমিন / অ্যাডমিন) দিয়ে চলছে। হ্যাকাররা কমপক্ষে 2020 এপ্রিল থেকে ভুল কনফিগার করা সোনারকিউব অ্যাপ্লিকেশনগুলিকে আপত্তি জানায়।
“২০২০ সালের এপ্রিল থেকে মার্কিন সরকার সংস্থা এবং বেসরকারী সংস্থাগুলির সোর্স কোড সংগ্রহস্থলগুলিতে অ্যাক্সেস পেতে অজ্ঞাত পরিচয়পত্রগুলি সক্রিয়ভাবে সোনারকিউবে দৃষ্টান্তগুলি লক্ষ্য করে চলেছে।
হ্যাকারগুলি পরিচিতিযুক্ত কনফিগারেশন দুর্বলতাগুলিকে কাজে লাগিয়ে তাদের মালিকানা কোড অ্যাক্সেস করতে, এটি বিশদকরণ করতে এবং প্রকাশ্যে ডেটা প্রদর্শন করার অনুমতি দেয়। এফবিআই একাধিক সম্ভাব্য কম্পিউটারের অনুপ্রবেশ সনাক্ত করেছে যা সোনারকিউব কনফিগারেশনে দুর্বলতার সাথে সম্পর্কিত লিকের সাথে সম্পর্কিত ”
কর্মকর্তারা এফবিআই বলুন হুমকি হ্যাকাররা এই ভুল সেটিংসটির অপব্যবহার করে সোনারকিউব উদাহরণগুলি অ্যাক্সেস করতে, সংযুক্ত উত্স কোড সংগ্রহস্থলগুলিতে স্যুইচ করুন এবং তারপরে মালিকানাধীন বা ব্যক্তিগত / সংবেদনশীল অ্যাপ্লিকেশনগুলিতে অ্যাক্সেস এবং চুরি করুন। বিগত মাসগুলিতে সংঘটিত অতীতের দুটি উদাহরণ সরবরাহ করে এফবিআই কর্মকর্তারা তাদের সতর্কতার সমর্থন জানিয়েছিলেন:
“২০২০ সালের আগস্টে তারা পাবলিক লাইফসাইकल রিপোজিটরি সরঞ্জামের মাধ্যমে দুটি সংস্থার অভ্যন্তরীণ তথ্য প্রকাশ করেছিল। চুরি হওয়া তথ্যগুলি সোনারকিউব উদাহরণ থেকে ক্ষতিগ্রস্থ সংস্থাগুলির নেটওয়ার্কগুলিতে চলমান ডিফল্ট পোর্ট সেটিংস এবং প্রশাসনিক শংসাপত্রগুলি ব্যবহার করে এসেছে।
"এই ক্রিয়াকলাপটি ২০২০ সালের জুলাইয়ের পূর্ববর্তী ডেটা লঙ্ঘনের মতো, যেখানে একজন চিহ্নিত সাইবার অভিনেতা সংস্থাটির উত্স কোডটি নিরাপদ সুরক্ষিত সোনারকিউব উদাহরণগুলির মাধ্যমে প্রবর্তন করেছিলেন এবং একটি স্ব-হোস্ট করা পাবলিক ভান্ডারটিতে এক্সফিল্ট্রেটেড উত্স কোড প্রকাশ করেছিলেন। «,
এফবিআই সতর্কতা স্বল্প-পরিচিত বিষয়ের উপর স্পর্শ করে সফ্টওয়্যার বিকাশকারী এবং সুরক্ষা গবেষক দ্বারা।
যখন সাইবারসিকিউরিটি শিল্প প্রায়শই বিপদ সম্পর্কে সতর্ক করে দিয়েছেকোনও পাসওয়ার্ড ছাড়াই অনলাইনে উন্মুক্ত মঙ্গোডিবি বা ইলাস্টিকসার্ক ডেটাবেস ছেড়ে যাওয়া সোনারকিউব নজরদারি থেকে রক্ষা পেয়েছে।
আসলে, দী গবেষকরা প্রায়শই মঙ্গোডিবি বা ইলাস্টিকসার্কের উদাহরণ খুঁজে পেয়েছেন অন লাইন যে তথ্য প্রকাশ কয়েক মিলিয়ন অরক্ষিত ক্লায়েন্ট।
উদাহরণস্বরূপ, জানুয়ারী 2019 সালে, জাস্টিন পেইন, সুরক্ষা গবেষক, দুর্বলতাটি আবিষ্কারকারী আক্রমণকারীদের করুণায় উল্লেখযোগ্য সংখ্যক গ্রাহক রেকর্ড উন্মোচিত করে একটি ভুল কনফিগার্ড করা অনলাইন ইলাস্টিকসার্ক ডাটাবেস আবিষ্কার করেছিলেন।
ব্যবহারকারীদের ব্যক্তিগত তথ্যের বিবরণ সহ ১০০ মিলিয়নেরও বেশি বেটের তথ্য অনলাইন ক্যাসিনোর একটি গ্রুপের গ্রাহকদের অন্তর্ভুক্ত।
তবে,কিছু নিরাপত্তা গবেষক মে ২০১gers সাল থেকে একই বিপদের বিষয়ে সতর্ক করেছেন যখন সংস্থাগুলি সোনারকিউব অ্যাপ্লিকেশনগুলি ডিফল্ট শংসাপত্রগুলির সাথে অনলাইনে উন্মুক্ত করে দেয়।
সেই সময়, সাইবার সিকিউরিটি কনসালট্যান্ট যিনি ডেটা লঙ্ঘন সন্ধানের দিকে মনোনিবেশ করেন, সতর্ক করেছিলেন যে এই সময়ে অনলাইনে পাওয়া প্রায় 30 সোনারকিউবের প্রায় 40-3,000% অনলাইনে কোনও পাসওয়ার্ড বা প্রমাণীকরণ প্রক্রিয়া সক্রিয় ছিল না।
উৎস: https://blog.sonarsource.com