ಹ್ಯಾಕರ್ಸ್ ಯುಎಸ್ ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳು ಮತ್ತು ಖಾಸಗಿ ಕಂಪನಿಗಳಿಂದ ಮೂಲ ಕೋಡ್ ಅನ್ನು ಕದ್ದಿದ್ದಾರೆ

Darkcrizt

4 ನಿಮಿಷಗಳು

ಫೆಡರಲ್ ಬ್ಯೂರೋ ಆಫ್ ಇನ್ವೆಸ್ಟಿಗೇಷನ್ (ಎಫ್‌ಬಿಐ) ಕಳೆದ ಅಕ್ಟೋಬರ್‌ನಲ್ಲಿ ಎಚ್ಚರಿಕೆ ಕಳುಹಿಸಿದೆ ಕಂಪನಿಗಳು ಮತ್ತು ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳ ಭದ್ರತಾ ಸೇವೆಗಳಿಗೆ.

ಕಳೆದ ವಾರ ಡಾಕ್ಯುಮೆಂಟ್ ಸೋರಿಕೆಯಾಗಿದೆ ಅಪರಿಚಿತ ಹ್ಯಾಕರ್‌ಗಳು ದುರ್ಬಲತೆಯ ಲಾಭವನ್ನು ಪಡೆದುಕೊಂಡಿದ್ದಾರೆ ಎಂದು ಹೇಳುತ್ತದೆ ಸೋನಾರ್‌ಕ್ಯೂಬ್ ಕೋಡ್ ಪರಿಶೀಲನಾ ವೇದಿಕೆಯಲ್ಲಿ ಮೂಲ ಕೋಡ್ ರೆಪೊಸಿಟರಿಗಳನ್ನು ಪ್ರವೇಶಿಸಲು. ಇದು ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳು ಮತ್ತು ಖಾಸಗಿ ಕಂಪನಿಗಳಿಂದ ಮೂಲ ಕೋಡ್ ಸೋರಿಕೆಗೆ ಕಾರಣವಾಗುತ್ತದೆ.

ಎಫ್‌ಬಿಐ ಎಚ್ಚರಿಕೆ ಸೋನಾರ್‌ಕ್ಯೂಬ್ ಮಾಲೀಕರಿಗೆ ಎಚ್ಚರಿಕೆ ನೀಡಿತು, ಉತ್ಪಾದನಾ ಪರಿಸರದಲ್ಲಿ ಕೋಡ್ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡುವ ಮೊದಲು ಮೂಲ ಕೋಡ್ ಅನ್ನು ಪರೀಕ್ಷಿಸಲು ಮತ್ತು ಭದ್ರತಾ ರಂಧ್ರಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಕಂಪನಿಗಳು ತಮ್ಮ ಸಾಫ್ಟ್‌ವೇರ್ ನಿರ್ಮಾಣ ಸರಪಳಿಗಳೊಂದಿಗೆ ಸಂಯೋಜಿಸುವ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್.

ತಿಳಿದಿರುವ ಕಾನ್ಫಿಗರೇಶನ್ ದೋಷಗಳ ಲಾಭವನ್ನು ಹ್ಯಾಕರ್‌ಗಳು ಪಡೆದುಕೊಳ್ಳುತ್ತಾರೆ, ಸ್ವಾಮ್ಯದ ಕೋಡ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು, ಅದನ್ನು ಹೊರಹಾಕಲು ಮತ್ತು ಡೇಟಾವನ್ನು ಪ್ರಕಟಿಸಲು ಅವರಿಗೆ ಅವಕಾಶ ಮಾಡಿಕೊಡುತ್ತದೆ. ಸೋನಾರ್‌ಕ್ಯೂಬ್ ಕಾನ್ಫಿಗರೇಶನ್ ದೋಷಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಸೋರಿಕೆಯೊಂದಿಗೆ ಪರಸ್ಪರ ಸಂಬಂಧ ಹೊಂದಿರುವ ಅನೇಕ ಸಂಭಾವ್ಯ ಕಂಪ್ಯೂಟರ್ ಒಳನುಗ್ಗುವಿಕೆಗಳನ್ನು ಎಫ್‌ಬಿಐ ಗುರುತಿಸಿದೆ.

ನ ಅನ್ವಯಗಳು ವೆಬ್ ಸರ್ವರ್‌ಗಳಲ್ಲಿ ಸೋನಾರ್‌ಕ್ಯೂಬ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ ಮತ್ತು ಕೋಡ್ ಹೋಸ್ಟಿಂಗ್ ವ್ಯವಸ್ಥೆಗಳಿಗೆ ಸಂಪರ್ಕಪಡಿಸಿ ಮೂಲಗಳಾದ ಬಿಟ್‌ಬಕೆಟ್, ಗಿಟ್‌ಹಬ್ ಅಥವಾ ಗಿಟ್‌ಲ್ಯಾಬ್ ಖಾತೆಗಳು, ಅಥವಾ ಅಜೂರ್ ಡೆವೊಪ್ಸ್ ವ್ಯವಸ್ಥೆಗಳು.

ಎಫ್‌ಬಿಐ ಪ್ರಕಾರ, ಕೆಲವು ಕಂಪನಿಗಳು ಈ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಅಸುರಕ್ಷಿತವಾಗಿ ಬಿಟ್ಟಿವೆ, ಅದರ ಡೀಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ (ಪೋರ್ಟ್ 9000 ನಲ್ಲಿ) ಮತ್ತು ಡೀಫಾಲ್ಟ್ ಆಡಳಿತ ರುಜುವಾತುಗಳೊಂದಿಗೆ (ನಿರ್ವಾಹಕ / ನಿರ್ವಾಹಕ) ಚಾಲನೆಯಲ್ಲಿದೆ. ಕನಿಷ್ಠ 2020 ರ ಏಪ್ರಿಲ್‌ನಿಂದ ಹ್ಯಾಕರ್‌ಗಳು ತಪ್ಪಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ ಸೋನಾರ್‌ಕ್ಯೂಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಂಡಿದ್ದಾರೆ.

"ಏಪ್ರಿಲ್ 2020 ರಿಂದ, ಯುಎಸ್ ಸರ್ಕಾರಿ ಸಂಸ್ಥೆಗಳು ಮತ್ತು ಖಾಸಗಿ ಕಂಪನಿಗಳಿಂದ ಮೂಲ ಕೋಡ್ ಭಂಡಾರಗಳಿಗೆ ಪ್ರವೇಶ ಪಡೆಯಲು ಗುರುತಿಸಲಾಗದ ಡಾಕ್ಗಳು ​​ದುರ್ಬಲ ಸೋನಾರ್ಕ್ಯೂಬ್ ನಿದರ್ಶನಗಳನ್ನು ಸಕ್ರಿಯವಾಗಿ ಗುರಿಯಾಗಿಸಿಕೊಂಡಿವೆ.

ತಿಳಿದಿರುವ ಕಾನ್ಫಿಗರೇಶನ್ ದೋಷಗಳನ್ನು ಹ್ಯಾಕರ್‌ಗಳು ಬಳಸಿಕೊಳ್ಳುತ್ತಾರೆ, ಇದು ಸ್ವಾಮ್ಯದ ಕೋಡ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು, ಅದನ್ನು ಹೊರಹಾಕಲು ಮತ್ತು ಡೇಟಾವನ್ನು ಸಾರ್ವಜನಿಕವಾಗಿ ಪ್ರದರ್ಶಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಸೋನಾರ್‌ಕ್ಯೂಬ್ ಕಾನ್ಫಿಗರೇಶನ್‌ನಲ್ಲಿನ ದೋಷಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಸೋರಿಕೆಯೊಂದಿಗೆ ಪರಸ್ಪರ ಸಂಬಂಧ ಹೊಂದಿರುವ ಅನೇಕ ಸಂಭಾವ್ಯ ಕಂಪ್ಯೂಟರ್ ಒಳನುಗ್ಗುವಿಕೆಗಳನ್ನು ಎಫ್‌ಬಿಐ ಗುರುತಿಸಿದೆ ”ಎಂದು ಎಫ್‌ಬಿಐ ಡಾಕ್ಯುಮೆಂಟ್ ಓದುತ್ತದೆ.

ಅಧಿಕಾರಿಗಳು ಎಫ್‌ಬಿಐ ಬೆದರಿಕೆ ಹ್ಯಾಕರ್‌ಗಳು ಈ ತಪ್ಪಾದ ಸೆಟ್ಟಿಂಗ್‌ಗಳನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಂಡಿದ್ದಾರೆ ಎಂದು ಹೇಳುತ್ತಾರೆ ಸೋನಾರ್‌ಕ್ಯೂಬ್ ನಿದರ್ಶನಗಳನ್ನು ಪ್ರವೇಶಿಸಲು, ಸಂಪರ್ಕಿತ ಮೂಲ ಕೋಡ್ ರೆಪೊಸಿಟರಿಗಳಿಗೆ ಬದಲಾಯಿಸಿ, ತದನಂತರ ಸ್ವಾಮ್ಯದ ಅಥವಾ ಖಾಸಗಿ / ಸೂಕ್ಷ್ಮ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಪ್ರವೇಶಿಸಿ ಕದಿಯಿರಿ. ಹಿಂದಿನ ತಿಂಗಳುಗಳಲ್ಲಿ ನಡೆದ ಹಿಂದಿನ ಘಟನೆಗಳ ಎರಡು ಉದಾಹರಣೆಗಳನ್ನು ಒದಗಿಸುವ ಮೂಲಕ ಎಫ್‌ಬಿಐ ಅಧಿಕಾರಿಗಳು ತಮ್ಮ ಎಚ್ಚರಿಕೆಯನ್ನು ಬೆಂಬಲಿಸಿದ್ದಾರೆ:

“ಆಗಸ್ಟ್ 2020 ರಲ್ಲಿ, ಅವರು ಸಾರ್ವಜನಿಕ ಜೀವನಚಕ್ರ ಭಂಡಾರ ಉಪಕರಣದ ಮೂಲಕ ಎರಡು ಸಂಸ್ಥೆಗಳಿಗೆ ಆಂತರಿಕ ಡೇಟಾವನ್ನು ಬಹಿರಂಗಪಡಿಸಿದರು. ಡೀಫಾಲ್ಟ್ ಪೋರ್ಟ್ ಸೆಟ್ಟಿಂಗ್‌ಗಳು ಮತ್ತು ಪೀಡಿತ ಸಂಸ್ಥೆಗಳ ನೆಟ್‌ವರ್ಕ್‌ಗಳಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಆಡಳಿತಾತ್ಮಕ ರುಜುವಾತುಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸೋನಾರ್‌ಕ್ಯೂಬ್ ನಿದರ್ಶನಗಳಿಂದ ಕದ್ದ ಡೇಟಾ ಬಂದಿದೆ.

"ಈ ಚಟುವಟಿಕೆಯು ಜುಲೈ 2020 ರಲ್ಲಿ ನಡೆದ ಹಿಂದಿನ ದತ್ತಾಂಶ ಉಲ್ಲಂಘನೆಗೆ ಹೋಲುತ್ತದೆ, ಇದರಲ್ಲಿ ಗುರುತಿಸಲ್ಪಟ್ಟ ಸೈಬರ್ ನಟನು ಕಂಪನಿಯ ಮೂಲ ಕೋಡ್ ಅನ್ನು ಕಳಪೆ ಸುರಕ್ಷಿತ ಸೋನಾರ್‌ಕ್ಯೂಬ್ ನಿದರ್ಶನಗಳ ಮೂಲಕ ಹೊರಹಾಕಿದನು ಮತ್ತು ಸ್ವಯಂ-ಹೋಸ್ಟ್ ಮಾಡಿದ ಸಾರ್ವಜನಿಕ ಭಂಡಾರಕ್ಕೆ ಹೊರಸೂಸಲ್ಪಟ್ಟ ಮೂಲ ಕೋಡ್ ಅನ್ನು ಪ್ರಕಟಿಸಿದನು. «, 

ಕಡಿಮೆ-ತಿಳಿದಿರುವ ವಿಷಯದ ಬಗ್ಗೆ ಎಫ್‌ಬಿಐ ಎಚ್ಚರಿಕೆ ಸ್ಪರ್ಶಿಸುತ್ತದೆ ಸಾಫ್ಟ್‌ವೇರ್ ಡೆವಲಪರ್‌ಗಳು ಮತ್ತು ಭದ್ರತಾ ಸಂಶೋಧಕರು.

ಹಾಗೆಯೇ ಸೈಬರ್‌ ಸೆಕ್ಯುರಿಟಿ ಉದ್ಯಮವು ಆಗಾಗ್ಗೆ ಅಪಾಯಗಳ ಬಗ್ಗೆ ಎಚ್ಚರಿಸಿದೆಪಾಸ್‌ವರ್ಡ್ ಇಲ್ಲದೆ ಮೊಂಗೊಡಿಬಿ ಅಥವಾ ಸ್ಥಿತಿಸ್ಥಾಪಕ ಡೇಟಾಬೇಸ್‌ಗಳನ್ನು ಆನ್‌ಲೈನ್‌ನಲ್ಲಿ ಬಹಿರಂಗಪಡಿಸುವುದರಿಂದ, ಸೋನಾರ್‌ಕ್ಯೂಬ್ ಕಣ್ಗಾವಲಿನಿಂದ ತಪ್ಪಿಸಿಕೊಂಡಿದೆ.

ವಾಸ್ತವವಾಗಿ, ದಿ ಮೊಂಗೊಡಿಬಿ ಅಥವಾ ಸ್ಥಿತಿಸ್ಥಾಪಕ ಹುಡುಕಾಟದ ನಿದರ್ಶನಗಳನ್ನು ಸಂಶೋಧಕರು ಹೆಚ್ಚಾಗಿ ಕಂಡುಕೊಂಡಿದ್ದಾರೆ ಆನ್ಲೈನ್ ಅದು ಡೇಟಾವನ್ನು ಬಹಿರಂಗಪಡಿಸುತ್ತದೆ ಹತ್ತು ಲಕ್ಷಕ್ಕೂ ಹೆಚ್ಚು ಅಸುರಕ್ಷಿತ ಗ್ರಾಹಕರು.

ಉದಾಹರಣೆಗೆ, 2019 ರ ಜನವರಿಯಲ್ಲಿ, ಭದ್ರತಾ ಸಂಶೋಧಕರಾದ ಜಸ್ಟಿನ್ ಪೈನ್ ತಪ್ಪಾಗಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾದ ಆನ್‌ಲೈನ್ ಸ್ಥಿತಿಸ್ಥಾಪಕ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಕಂಡುಹಿಡಿದನು, ದುರ್ಬಲತೆಯನ್ನು ಕಂಡುಹಿಡಿದ ದಾಳಿಕೋರರ ಕರುಣೆಗೆ ಗಮನಾರ್ಹ ಸಂಖ್ಯೆಯ ಗ್ರಾಹಕರ ದಾಖಲೆಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಿದನು.

ಬಳಕೆದಾರರ ವೈಯಕ್ತಿಕ ಮಾಹಿತಿಯ ವಿವರಗಳನ್ನು ಒಳಗೊಂಡಂತೆ 108 ದಶಲಕ್ಷಕ್ಕೂ ಹೆಚ್ಚಿನ ಪಂತಗಳ ಮಾಹಿತಿಯು ಆನ್‌ಲೈನ್ ಕ್ಯಾಸಿನೊಗಳ ಗುಂಪಿನ ಗ್ರಾಹಕರಿಗೆ ಸೇರಿದೆ.

ಆದಾಗ್ಯೂ, ಗೆಕೆಲವು ಭದ್ರತಾ ಸಂಶೋಧಕರು ಅದೇ ಅಪಾಯಗಳ ಬಗ್ಗೆ ಮೇ 2018 ರಿಂದ ಎಚ್ಚರಿಸಿದ್ದಾರೆ ಡೀಫಾಲ್ಟ್ ರುಜುವಾತುಗಳೊಂದಿಗೆ ಆನ್‌ಲೈನ್‌ನಲ್ಲಿ ಬಹಿರಂಗಪಡಿಸಿದ ಸೋನಾರ್‌ಕ್ಯೂಬ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಕಂಪನಿಗಳು ಬಿಟ್ಟಾಗ.

ಆ ಸಮಯದಲ್ಲಿ, ಡೇಟಾ ಉಲ್ಲಂಘನೆಯನ್ನು ಕಂಡುಹಿಡಿಯುವಲ್ಲಿ ಕೇಂದ್ರೀಕರಿಸುವ ಸೈಬರ್‌ ಸೆಕ್ಯುರಿಟಿ ಕನ್ಸಲ್ಟೆಂಟ್, ಬಾಬ್ ಡಯಾಚೆಂಕೊ, ಆ ಸಮಯದಲ್ಲಿ ಆನ್‌ಲೈನ್‌ನಲ್ಲಿ ಲಭ್ಯವಿರುವ ಸುಮಾರು 30 ಸೋನಾರ್‌ಕ್ಯೂಬ್ ನಿದರ್ಶನಗಳಲ್ಲಿ ಸುಮಾರು 40-3,000% ರಷ್ಟು ಪಾಸ್‌ವರ್ಡ್ ಅಥವಾ ದೃ hentic ೀಕರಣ ಕಾರ್ಯವಿಧಾನವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿಲ್ಲ ಎಂದು ಎಚ್ಚರಿಸಿದ್ದಾರೆ.

ಮೂಲ: https://blog.sonarsource.com


ನಿಮ್ಮ ಅಭಿಪ್ರಾಯವನ್ನು ಬಿಡಿ

ನಿಮ್ಮ ಈಮೇಲ್ ವಿಳಾಸ ಪ್ರಕಟವಾದ ಆಗುವುದಿಲ್ಲ. ಅಗತ್ಯವಿರುವ ಜಾಗ ಗುರುತಿಸಲಾಗಿದೆ *

*

*

  1. ಡೇಟಾಗೆ ಜವಾಬ್ದಾರಿ: ಮಿಗುಯೆಲ್ ಏಂಜೆಲ್ ಗಟಾನ್
  2. ಡೇಟಾದ ಉದ್ದೇಶ: ನಿಯಂತ್ರಣ SPAM, ಕಾಮೆಂಟ್ ನಿರ್ವಹಣೆ.
  3. ಕಾನೂನುಬದ್ಧತೆ: ನಿಮ್ಮ ಒಪ್ಪಿಗೆ
  4. ಡೇಟಾದ ಸಂವಹನ: ಕಾನೂನುಬದ್ಧ ಬಾಧ್ಯತೆಯನ್ನು ಹೊರತುಪಡಿಸಿ ಡೇಟಾವನ್ನು ಮೂರನೇ ವ್ಯಕ್ತಿಗಳಿಗೆ ಸಂವಹನ ಮಾಡಲಾಗುವುದಿಲ್ಲ.
  5. ಡೇಟಾ ಸಂಗ್ರಹಣೆ: ಆಕ್ಸೆಂಟಸ್ ನೆಟ್‌ವರ್ಕ್‌ಗಳು (ಇಯು) ಹೋಸ್ಟ್ ಮಾಡಿದ ಡೇಟಾಬೇಸ್
  6. ಹಕ್ಕುಗಳು: ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ನೀವು ನಿಮ್ಮ ಮಾಹಿತಿಯನ್ನು ಮಿತಿಗೊಳಿಸಬಹುದು, ಮರುಪಡೆಯಬಹುದು ಮತ್ತು ಅಳಿಸಬಹುದು.