Ofishin Bincike na Tarayya (FBI) ta aika da gargaɗi a watan Oktobar da ya gabata ga ayyukan tsaro na kamfanoni da kungiyoyin gwamnati.
Takardar ta fallasa makon da ya gabata yayi ikirarin cewa wasu 'yan fashin da ba a san su ba sun ci gajiyar rauni akan dandalin tabbatar da lambar SonarQube don samun damar maɓallin lambar tushe. Wannan yana haifar da kwararar lambar sirri daga hukumomin gwamnati da kamfanoni masu zaman kansu.
Faɗakarwar FBI ta gargaɗi masu SonarQube, aikace-aikacen gidan yanar gizo wanda kamfanoni ke haɗawa cikin software ɗinsu suna yin sarƙoƙi don gwada lambar tushe da gano ramuka na tsaro kafin sakin lambar da aikace-aikace a cikin yanayin samarwa.
Masu fashin kwamfuta suna amfani da sanannun yanayin sanyi, ba su damar samun damar lambar mallaka, sake ɓata shi, da kuma buga bayanai. FBI ta gano yawancin kutse na komputa da ke haɗuwa da bayanan sirri da ke haɗuwa da yanayin daidaitawar SonarQube.
Aikace-aikace na An shigar da SonarQube akan sabar yanar gizo kuma haɗi zuwa tsarin karɓar lambar tushe kamar su BitBucket, GitHub, ko GitLab asusun, ko tsarin Azure DevOps.
A cewar FBI, wasu kamfanoni sun bar waɗannan tsarin ba tare da kariya ba, yana gudana tare da daidaitaccen tsarinsa (akan tashar jiragen ruwa 9000) da takaddun shahadar gudanarwa (gudanarwa / gudanarwa) Masu fashin kwamfuta sun wulakanta aikace-aikacen SonarQube mara kyau tun a watan Afrilu na 2020.
“Tun daga watan Afrilu na shekarar 2020, wasu karnukan da ba a san ko su waye ba suka himmatu kan misalan SonarQube marassa karfi don samun damar shiga rumbun adana bayanan hukumomin hukumomin Amurka da kamfanoni masu zaman kansu.
Masu fashin kwamfuta suna amfani da sanannun raunin sanyi, yana ba su damar samun damar lambar mallaka, su sake sabunta shi, kuma su nuna bayanan jama'a. FBI ta gano fitinar komputa da yawa da ke iya alaƙa da bayanan sirri da ke haɗe da rauni a cikin tsarin SonarQube, ”in ji FBI ɗin.
Jami'an FBI Sunce Barazanar 'Yan Dandatsa Sun Zagi Waɗannan Saitunan Ba daidai ba don samun damar lokutan SonarQube, canza zuwa wuraren ajiyar lambar tushe, sannan samun dama da sata aikace-aikace na masu zaman kansu ko masu zaman kansu / masu wahala. Jami'an FBI sun goyi bayan faɗakarwa ta hanyar ba da misalai biyu na abubuwan da suka gabata waɗanda suka faru a cikin watannin da suka gabata:
“A watan Agusta na 2020, sun bayyana bayanan cikin gida don kungiyoyi biyu ta hanyar kayan adana kekuna na rayuwar jama’a. Bayanan da aka sata sun fito ne daga lokutan SonarQube ta amfani da saitunan tashar tashar jirgin ruwa da takaddun bayanan gudanarwa da ke gudana akan hanyoyin sadarwar kungiyoyin da abin ya shafa.
“Wannan aikin yayi kama da karya data data gabata a watan Yulin 2020, wanda wani dan wasan yanar gizo da aka gano ya fallasa lambar kamfanin ta hanyar yanayin tsaro na SonarQube mara kyau sannan kuma ya fitar da katanga mai tushe zuwa wurin ajiyar jama’a. «,
Faɗakarwar FBI ta taɓa batun da ba a sani ba sosai ta masu kirkirar software da masu bincike kan tsaro.
Duk da yake masana'antar kare yanar gizo ta sha yin gargadi game da hadaris daga barin bayanan MongoDB ko Elasticsearch da aka fallasa kan layi ba tare da kalmar sirri ba, SonarQube ya tsere wa sa ido.
A zahiri, da Masu bincike sukan samo misalai na MongoDB ko Elasticsearch online wanda ya fallasa bayanai sama da miliyoyin abokan cinikin da ba su da kariya.
Misali, a cikin watan Janairun 2019, Justin Paine, wani mai bincike kan tsaro, ya gano ɓataccen bayanan gidan yanar gizo na Elasticsearch, yana fallasa adadi mai yawa na bayanan abokan ciniki ga rahamar maharan da suka gano raunin.
Bayanin kan kudi sama da miliyan 108, gami da cikakkun bayanan bayanan masu amfani, mallakar abokan cinikin rukunin gidajen caca ne na kan layi.
Koyaya, zuwaWasu masu binciken tsaro sun yi gargadin tun a watan Mayun 2018 game da irin wannan hadari lokacin da kamfanoni suka bar aikace-aikacen SonarQube da aka fallasa akan layi tare da tsoffin takardun shaidarka.
A lokacin, mai ba da shawara kan tsaro ta yanar gizo wanda ke mai da hankali kan gano karya bayanai, Bob Diachenko, ya yi gargadin cewa kusan 30-40% na kusan 3,000 abubuwan SonarQube da ake da su a kan layi a lokacin ba su da kalmar wucewa ko ingantacciyar hanyar tabbatarwa.
Source: https://blog.sonarsource.com