Hackers waxay ka xadeen koodhka ilaha wakaaladaha dawlada Mareykanka iyo shirkadaha gaarka loo leeyahay

Darkcrizt

Daqiiqado 4

Xafiiska Baarista Federaalka (FBI) waxay dirtay digniin bishii Oktoobar ee la soo dhaafay adeegyada amniga shirkadaha iyo hay'adaha dawladda.

Dukumiintiga ayaa xaday wiigii hore sheegashada haakarisyo aan la garaneyn ayaa ka faa'iideystay nuglaanta oo ku taal barxadda xaqiijinta lambarka SonarQube si aad u hesho marin lagu keydiyo koodhka ilaha. Tani waxay horseed u tahay sirta koodhka sirta ee wakaaladaha dawladda iyo shirkadaha gaarka loo leeyahay.

Digniinta FBI-da ayaa u digtay milkiilayaasha SonarQube, codsi websaydh ah oo shirkaduhu ku dhex milmaan barnaamijyadooda software si ay u tijaabiyaan koodhka ilaha iyo inay ogaadaan godadka amniga ka hor inta aan la sii deyn koodh iyo codsiyada jawiga wax soo saarka.

Hackers waxay ka faa'iideystaan ​​u nuglaanta qaabeynta la yaqaan, iyaga oo u oggolaanaya inay galaan koodhka lahaanshaha, dib-u-xoqin, oo ay daabacaan xogta. FBI-da ayaa ogaatay khalkhal galinta kumbuyuutaro fara badan oo laxiriirta xogaha laxiriira dayacanka qaabeynta SonarQube.

codsiyada SonarQube waxaa lagu rakibay shabakadaha internetka oo ku xirmaan nidaamyada martigelinta koodhka isha sida BitBucket, GitHub, ama xisaabaadka GitLab, ama nidaamyada Azure DevOps.

Sida laga soo xigtay FBI, shirkadaha qaar ayaa ka tegey nidaamyadan kuwo aan ilaalin, oo ku shaqeynaya nidaamkeeda caadiga ah (dekedda 9000) iyo aqoonsiga maamulka ee caadiga ah (maamulka / maamulka). Hackers waxay ku xad gudbeen codsiyada si qaldan loo qaabeeyey ee SonarQube tan iyo ugu yaraan Abriil 2020.

“Laga soo bilaabo bishii Abriil 2020, diktoorro aan la aqoonsan ayaa si firfircoon u bartilmaameedsanayay dhacdooyinka nugul ee SonarQube si ay uga helaan marinnada keydka ilaha ee wakaaladaha dowladda iyo shirkadaha gaarka loo leeyahay ee Mareykanka.

Hackers waxay ka faa'iideystaan ​​u nuglaanta qaabeynta la ogyahay, iyaga oo u oggolaanaya inay galaan koodhka lahaanshaha, ballaadhiyaan, oo ay si guud u soo bandhigaan xogta. FBI-da ayaa ogaatay in kumbuyuutarro fara badan oo faro-gelin ah ay la xiriiraan xogaha la xiriira dayacanka ee qaabeynta SonarQube, ”ayaa lagu yiri dukumiintiga FBI-da.

Saraakiisha FBI waxay dhahday Hanjabaadayaasha Hackers waxay u adeegsadeen Goobahan khaldan si aad u gasho tusaalooyinka SonarQube, u wareeji bakhaarada koodhka ilaha ku xiran, ka dibna marin u hel oo xadi codsiyada lahaanshaha ama gaarka loo leeyahay / xasaasiga ah. Saraakiisha FBI-da ayaa taageeray feejignaantooda iyagoo siiyay labo tusaale oo ku saabsan dhacdooyinkii hore ee dhacay bilihii hore:

Bishii Ogosto 2020, waxay soo bandhigeen xog gudaha ah oo loogu talagalay laba urur iyada oo loo marayo aaladda keydka nolosha ee dadweynaha. Xogta la xaday waxay ka timid xaaladaha SonarQube iyada oo la adeegsanayo dejinta dekedda caadiga ah iyo aqoonsiga maamul ee ka shaqeynaya shabakadaha hay'adaha ay dhibaatadu saameysey.

“Waxqabadkani wuxuu la mid yahay jebinta xog hore ee bishii Luulyo 2020, taas oo jilaa internet ah oo la aqoonsaday uu ku faafiyay koodhka ilaha shirkadda iyada oo loo marayo xaaladaha SonarQube oo aan si fiican loo hubin isla markaana lagu daabacay koodhka ilaha bannaanka la soo saaray meel lagu keydiyo dadweynaha. «, 

Digniinta FBI waxay taabaneysaa mowduuc aan la aqoon by horumarinta software iyo cilmi-baarayaasha amniga.

Iyadoo warshadaha amniga internetka ayaa inta badan ka digay halistas ka tagida macluumaadka MongoDB ama Elasticsearch ee qadka lagala soo baxo iyada oo aan sir la helin, SonarQube ayaa ka baxsatay ilaalada.

Xaqiiqdii, the Baarayaasha ayaa badanaaba helay xaaladaha MongoDB ama Elasticsearch internetka xogta banaanka soo dhiga in ka badan tobanaan milyan oo macaamiil ah oo aan la ilaalin.

Tusaale ahaan, bishii Janaayo 2019, Justin Paine, oo ah cilmi baare xagga amniga ah, ayaa helay xog khaldan oo laga helo kaydka internetka ee 'Elasticsearch', isagoo kashifay tiro aad u tiro badan oo diiwaanno macmiil ah naxariista kuwa weerarka soo qaaday ee u nuglaaday.

Macluumaadka ku saabsan in ka badan 108 milyan oo sharad, oo ay ku jiraan faahfaahinta macluumaadka shakhsiyeed ee isticmaalayaasha, waxaa iska lahaa macaamiisha koox ka mid ah casinos-ka internetka.

Si kastaba ha noqotee, siQaar ka mid ah baarayaasha amniga ayaa ka digay tan iyo bishii May 2018 khatartaas oo kale markay shirkaduhu ka baxaan codsiyada SonarQube oo lagu soo bandhigo khadka tooska ah ee aqoonsiga.

Waqtigaas, lataliyaha amniga internetka ee diirada saaraya helitaanka jebinta xogta, Bob Diachenko, wuxuu ka digay in kudhowaad 30-40% qiyaas ahaan 3,000 oo dhacdooyin SonarQube ah oo laga heli karo khadka tooska ah waqtigaas aysan lahayn wax fure ama farsamo xaqiijin ah oo shaqeysay.

source: https://blog.sonarsource.com


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.