હેકરોએ યુ.એસ. સરકારી એજન્સીઓ અને ખાનગી કંપનીઓનો સ્રોત કોડ ચોરી લીધો

ફેડરલ બ્યુરો ઓફ ઇન્વેસ્ટિગેશન (એફબીઆઇ) એ ગયા ઓક્ટોબરમાં ચેતવણી મોકલી હતી કંપનીઓ અને સરકારી સંગઠનોની સુરક્ષા સેવાઓ માટે.

ગયા અઠવાડિયે આ દસ્તાવેજ લીક થયો હતો દાવો કરે છે કે અજાણ્યા હેકરોએ નબળાઈનો લાભ લીધો છે સોનારક્યૂબ કોડ ચકાસણી પ્લેટફોર્મ પર સ્રોત કોડ ભંડારો accessક્સેસ કરવા માટે. આનાથી સરકારી એજન્સીઓ અને ખાનગી કંપનીઓના સ્રોત કોડ લીક થાય છે.

એફબીઆઇની ચેતવણીએ સોનારક્યૂબ માલિકોને ચેતવણી આપી, એક વેબ એપ્લિકેશન જે કંપનીઓ તેમના સ softwareફ્ટવેરમાં એકીકૃત કરે છે સ્રોત કોડની ચકાસણી કરવા માટે ચેન બનાવે છે અને ઉત્પાદન વાતાવરણમાં કોડ અને એપ્લિકેશનને મુક્ત કરતા પહેલા સુરક્ષા છિદ્રો શોધે છે.

હેકરો જાણીતી ગોઠવણી નબળાઈઓનો લાભ લે છે, તેમને પ્રોપરાઇટરી કોડને accessક્સેસ કરવાની, તેને સમજાવવાની અને ડેટા પ્રકાશિત કરવાની મંજૂરી. એફબીઆઇએ ઘણી સંભવિત કમ્પ્યુટર ઘુસણખોરીઓને ઓળખી કા .ી છે જે સોનારક્યૂબ રૂપરેખાંકન નબળાઈઓ સાથે સંકળાયેલ લીક સાથે સંબંધિત છે.

ના કાર્યક્રમો સોનારક્યૂબ વેબ સર્વર્સ પર ઇન્સ્ટોલ કરેલું છે અને કોડ હોસ્ટિંગ સિસ્ટમ્સથી કનેક્ટ થાઓ સ્રોત જેમ કે બિટબકેટ, ગિટહબ અથવા ગિટલાબ એકાઉન્ટ્સ, અથવા એઝુર ડેવઓપ્સ સિસ્ટમ્સ.

એફબીઆઇ અનુસાર, કેટલીક કંપનીઓએ આ સિસ્ટમોને અસુરક્ષિત છોડી દીધી છે, તેના ડિફ defaultલ્ટ રૂપરેખાંકન (પોર્ટ 9000 પર) અને ડિફ defaultલ્ટ એડમિનિસ્ટ્રેશન ઓળખપત્રો (એડમિન / એડમિન) સાથે ચાલી રહ્યું છે. ઓછામાં ઓછા એપ્રિલ 2020 થી હેકરોએ ખોટી ગોઠવણી કરેલ સોનારક્યૂબ એપ્લિકેશનોનો દુરુપયોગ કર્યો છે.

“એપ્રિલ 2020 થી, યુ.એસ. સરકારી એજન્સીઓ અને ખાનગી કંપનીઓના સ્રોત કોડ રીપોઝીટરીઓમાં પ્રવેશ મેળવવા માટે અજાણ્યા ડોક્સ સક્રિય રીતે નબળા સોનારક્યૂબ દાખલાઓને લક્ષ્યાંક આપી રહ્યા છે.

હેકરો જાણીતી ગોઠવણીની નબળાઈઓનું શોષણ કરે છે, તેમને પ્રોપરાઇટરી કોડને accessક્સેસ કરવાની, તેને રજૂ કરવાની અને જાહેરમાં ડેટા પ્રદર્શિત કરવાની મંજૂરી આપે છે. એફબીઆઇએ ઘણા સંભવિત કમ્પ્યુટર ઘૂસણખોરો ઓળખ્યા છે જે સોનારક્યૂબ રૂપરેખાંકનમાં નબળાઈઓ સાથે સંકળાયેલ લીક સાથે સંબંધિત છે, ”એફબીઆઇ દસ્તાવેજ વાંચે છે.

ના અધિકારીઓ એફબીઆઇ કહો થ્રેટ હેકરોએ આ ખોટી સેટિંગ્સનો દુરુપયોગ કર્યો સોનારકુબ દાખલાઓ toક્સેસ કરવા માટે, કનેક્ટેડ સ્રોત કોડ રીપોઝીટરીઝ પર સ્વિચ કરો અને પછી માલિકીની અથવા ખાનગી / સંવેદી એપ્લિકેશનને .ક્સેસ અને ચોરી કરો. પાછલા મહિનામાં બનેલી ભૂતકાળના બે ઉદાહરણો આપીને એફબીઆઇ અધિકારીઓએ તેમની ચેતવણીનો સમર્થન આપ્યું:

“2020ગસ્ટ XNUMX માં, તેઓએ જાહેર જીવનચક્ર ભંડાર સાધન દ્વારા બે સંગઠનો માટેનો આંતરિક ડેટા જાહેર કર્યો. અસરગ્રસ્ત સંગઠનોના નેટવર્ક પર ચાલતા ડિફ defaultલ્ટ પોર્ટ સેટિંગ્સ અને વહીવટી ઓળખપત્રોનો ઉપયોગ કરીને સોનારક્યૂબના દાખલાઓમાંથી ચોરાયેલો ડેટા આવ્યો છે.

“આ પ્રવૃત્તિ જુલાઈ 2020 માં અગાઉના ડેટા ભંગ જેવી જ છે, જેમાં એક સાયબર એક્ટર એ નબળી સલામત સોનારક્યૂબ દાખલાઓ દ્વારા કંપનીના સોર્સ કોડની રજૂઆત કરી અને સ્વ-હોસ્ટેડ જાહેર ભંડારમાં એક્સફિલ્ટ્રેટેડ સ્રોત કોડ પ્રકાશિત કર્યો. «, 

એફબીઆઇ ચેતવણી બહુ ઓછા જાણીતા વિષય પર સ્પર્શે છે સ softwareફ્ટવેર વિકાસકર્તાઓ અને સુરક્ષા સંશોધકો દ્વારા.

જ્યારે સાયબર સલામતી ઉદ્યોગ વારંવાર જોખમો વિશે ચેતવણી આપી છેપાસવર્ડ વિના exposedનલાઇન ખુલ્લા મોન્ગોડીબી અથવા ઇલાસ્ટિકસાર્ચ ડેટાબેસેસ છોડવામાંથી, સોનારકુબ સર્વેલન્સથી બચી ગયો છે.

હકીકતમાં, આ સંશોધનકારોને મોંગોડીબી અથવા ઇલાસ્ટિકસાર્ચના દાખલા હંમેશા મળ્યા છે ઓનલાઇન કે માહિતી છતી કરે છે અસુરક્ષિત ગ્રાહકોના લાખોથી વધુ

ઉદાહરણ તરીકે, જાન્યુઆરી 2019 માં, જસ્ટિન પેઈન, સુરક્ષા સંશોધનકારે, ખોટી ગોઠવણી કરેલી Eનલાઇન ઇલાસ્ટિક શોધ ડેટાબેઝ શોધી કા customerી, જેમાં નબળાઈને શોધી કા attacનારા હુમલાખોરોની દયામાં નોંધપાત્ર સંખ્યામાં ગ્રાહકના રેકોર્ડ્સને ખુલ્લો પાડ્યો.

વપરાશકર્તાઓની વ્યક્તિગત માહિતીની વિગતો સહિત 108 મિલિયનથી વધુ બેટ્સ પરની માહિતી, casનલાઇન કેસિનોના જૂથના ગ્રાહકોની છે.

જો કે, માટેકેટલાક સુરક્ષા સંશોધકોએ મે 2018 થી સમાન જોખમો અંગે ચેતવણી આપી છે જ્યારે કંપનીઓ સોનરક્યૂબ એપ્લિકેશનોને ડિફ defaultલ્ટ ઓળખપત્રો સાથે exposedનલાઇન ખુલ્લી મૂકે છે.

તે સમયે, સાયબર સિક્યુરિટી કન્સલ્ટન્ટ, જે ડેટા ભંગ શોધવા પર ધ્યાન કેન્દ્રિત કરે છે, બોબ ડાયાચેન્કોએ ચેતવણી આપી હતી કે તે સમયે onlineનલાઇન ઉપલબ્ધ આશરે ,30,૦૦૦ સોનારકુબ ઉદ્દેશોમાંથી લગભગ -૦-40૦% જેટલો પાસવર્ડ અથવા ઓથેન્ટિકેશન મિકેનિઝમ સક્રિય નથી.

સ્રોત: https://blog.sonarsource.com


ટિપ્પણી કરવા માટે સૌ પ્રથમ બનો

તમારી ટિપ્પણી મૂકો

તમારું ઇમેઇલ સરનામું પ્રકાશિત કરવામાં આવશે નહીં. આવશ્યક ક્ષેત્રો સાથે ચિહ્નિત થયેલ છે *

*

*

  1. ડેટા માટે જવાબદાર: મિગ્યુએલ gelંજેલ ગેટóન
  2. ડેટાનો હેતુ: નિયંત્રણ સ્પામ, ટિપ્પણી સંચાલન.
  3. કાયદો: તમારી સંમતિ
  4. ડેટાની વાતચીત: કાયદાકીય જવાબદારી સિવાય ડેટા તૃતીય પક્ષને આપવામાં આવશે નહીં.
  5. ડેટા સ્ટોરેજ: cસેન્ટસ નેટવર્ક્સ (ઇયુ) દ્વારા હોસ્ટ કરેલો ડેટાબેઝ
  6. અધિકાર: કોઈપણ સમયે તમે તમારી માહિતીને મર્યાદિત, પુન recoverપ્રાપ્ત અને કા deleteી શકો છો.