गेल्या आठवड्यात आम्ही येथे ब्लॉगवर शेअर करतोकाही बातम्या जे ओळखले गेले हॅकिंग प्रकरणांबद्दल a , NVIDIA आणि सॅमसंग हॅकर ग्रुप Lapsus$ द्वारे, ज्याने Ubisoft वरून माहिती ऍक्सेस करण्यात देखील व्यवस्थापित केले.
आणि ते नुकतेच आहे GitGuardian ने माहितीसाठी सॅमसंगचा सोर्स कोड स्कॅन केला गोपनीय, जसे की गुप्त की (API की, प्रमाणपत्रे) आणि त्यापैकी 6695 शोधले. हा परिणाम एका विश्लेषणादरम्यान प्राप्त झाला ज्यामध्ये 350 पेक्षा जास्त वैयक्तिक डिटेक्टर वापरण्यात आले, प्रत्येक एक गुप्त कीच्या प्रकाराची विशिष्ट वैशिष्ट्ये शोधत आहे, आणि उत्कृष्ट अचूक परिणाम देत आहे.
या शोधात संशोधक डॉ GitGuardian वगळलेले परिणाम जेनेरिक हाय-एंट्रोपी डिटेक्टर आणि जेनेरिक पासवर्ड डिटेक्टर पासून, कारण ते सहसा चुकीचे सकारात्मक समाविष्ट करू शकतात आणि त्यामुळे फुगवलेले परिणाम निर्माण करतात. हे लक्षात घेऊन, गुप्त कळांची वास्तविक संख्या खूप जास्त असू शकते.
GitGuardian शी परिचित नसलेल्यांसाठी, तुम्हाला हे माहित असले पाहिजे की ही Jérémy Thomas आणि Eric Fourrier यांनी 2017 मध्ये स्थापन केलेली कंपनी आहे आणि ज्याला 2021 FIC स्टार्ट-अप पुरस्कार मिळाला आहे आणि ती FT120 ची सदस्य आहे.
कंपनीने स्वतःला गुप्त की शोधण्यात एक विशेषज्ञ म्हणून स्थापित केले आहे आणि विकासकांचा अनुभव लक्षात घेऊन AppSec च्या अंमलबजावणीच्या आसपास सामायिक जबाबदारीच्या मॉडेलचे पालन करणार्या उपायांवर त्यांचे R&D प्रयत्न केंद्रित केले आहेत.
जसे आपण परिणामांच्या सारांशात पाहू शकतो, पहिले आठ परिणाम 90% शोधांचे प्रतिनिधित्व करतात आणि, जरी ती अतिशय संवेदनशील माहिती असली तरी, आक्रमणकर्त्यासाठी ती वापरणे अधिक कठीण असू शकते, कारण ती कदाचित अंतर्गत प्रणालींना संदर्भित करते.
हे फक्त 600 गुप्त प्रमाणीकरण की सोडतात जे विविध सेवा आणि प्रणालींच्या विस्तृत श्रेणीमध्ये प्रवेश प्रदान करतात ज्याचा वापर आक्रमणकर्ता इतर प्रणालींमध्ये प्रवेश करण्यासाठी करू शकतो.
» सॅमसंग सोर्स कोडमध्ये सापडलेल्या ६,६०० हून अधिक कींपैकी, सुमारे ९०% अंतर्गत सॅमसंग सेवा आणि पायाभूत सुविधांसाठी आहेत, तर उरलेल्या महत्त्वाच्या १०% बाह्य सेवा किंवा सॅमसंगच्या साधनांमध्ये प्रवेश देऊ शकतात, जसे की AWS, GitHub, कलाकृती, आणि Google,” GitGuardian मधील डेव्हलपर अॅडव्होकेट मॅकेन्झी जॅक्सन स्पष्ट करतात.
अलीकडील GitGuardian अहवालात असे दिसून आले आहे की सरासरी 400 विकासक असलेल्या संस्थेमध्ये, अंतर्गत स्त्रोत कोड रेपॉजिटरीजमध्ये 1000 पेक्षा जास्त गुप्त की आढळतात (सोर्स स्टेट ऑफ सिक्रेट्स स्प्रॉल 2022).
अशा गुप्त कळा लीक झाल्यास, याचा सॅमसंगच्या क्षमतेवर परिणाम होऊ शकतो फोन सुरक्षितपणे अद्ययावत करण्यासाठी, प्रतिस्पर्ध्यांना संवेदनशील ग्राहक माहितीमध्ये प्रवेश देण्यासाठी किंवा इतर हल्ले सुरू करण्याच्या क्षमतेसह सॅमसंगच्या अंतर्गत पायाभूत सुविधांमध्ये प्रवेश देण्यासाठी.
मॅकेन्झी जॅक्सन जोडते:
हे हल्ले एक समस्या उघड करतात ज्याबद्दल सुरक्षा उद्योगातील अनेकांनी धोक्याची घंटा वाजवली आहे: अंतर्गत स्त्रोत कोडमध्ये संवेदनशील डेटाची सतत वाढणारी रक्कम आहे, तरीही ती अत्यंत अविश्वसनीय मालमत्ता आहे. सोर्स कोड संपूर्ण कंपनीतील डेव्हलपरसाठी मोठ्या प्रमाणावर उपलब्ध आहे, वेगवेगळ्या सर्व्हरवर बॅकअप घेतलेला आहे, विकासकांच्या स्थानिक मशीनवर संग्रहित आहे आणि अंतर्गत दस्तऐवज किंवा ईमेल सेवांद्वारे देखील शेअर केला आहे. हे त्यांना प्रतिस्पर्ध्यांसाठी एक अतिशय आकर्षक लक्ष्य बनवते आणि म्हणून आम्ही या हल्ल्यांच्या वारंवारतेमध्ये चिकाटी पाहतो.”
Lapsus$ टेलीग्राम चॅनेलवर, मोठ्या संस्थांच्या कर्मचार्यांना त्यांचा प्रवेश उघड करण्यासाठी अनिवार्यपणे कॉल पाठवून हॅकर गट या रिपॉझिटरीजमध्ये कसा प्रवेश मिळवतो हे पाहण्यास आम्ही सक्षम होऊ.
दुर्दैवाने, असे हल्ले पाहून आम्ही पूर्ण केले नाही, गट आता त्यांच्या टेलिग्राम चॅनेलद्वारे पोल शेअर करत आहे, त्यांच्या प्रेक्षकांना पुढे कोणता सोर्स कोड लीक करावा हे विचारत आहे, हे सूचित करते की आणखी बरेच लीक होण्याची शक्यता आहे. अंतर्गत स्त्रोत कोड भविष्यात.
शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण तपशील तपासू शकता पुढील लिंकवर