在過去幾週 我們在博客上分享某些 新聞 眾所周知的 關於黑客案例 a Nvidia公司 黑客組織 Lapsus$ 和三星,他還設法訪問了育碧的信息。
而且是最近 GitGuardian 掃描三星的源代碼以獲取信息 機密,例如密鑰(API 密鑰、證書),並發現其中 6695 個。 這個結果是在使用 350 多個單獨的檢測器的分析中獲得的,每個檢測器都在尋找一種密鑰的特定特徵,從而提供非常精確的結果。
在這次搜索中,研究人員 GitGuardian 排除結果 來自通用高熵檢測器和通用密碼檢測器,因為它們通常會包含誤報,因此會產生誇大的結果。 考慮到這一點,密鑰的實際數量可能要高得多。
不熟悉 GitGuardian 的你應該知道,這是一家由 Jérémy Thomas 和 Eric Fourrier 於 2017 年創立的公司,曾獲得 2021 FIC Start-up Award,是 FT120 的成員。
該公司已將自己確立為檢測密鑰的專家,並將其研發工作重點放在符合圍繞 AppSec 實施的責任共擔模型的解決方案上,同時考慮到開發人員的經驗。
正如我們在結果摘要中看到的,前 90 個結果代表了 XNUMX% 的發現,雖然它是非常敏感的信息,但攻擊者可能更難以使用它,因為它可能涉及內部系統。
此 僅留下 600 多個秘密身份驗證密鑰 提供對攻擊者可以用來橫向滲透其他系統的各種不同服務和系統的訪問。
» 在三星源代碼中發現的 6600 多個密鑰中,約 90% 用於三星內部服務和基礎設施,而剩下的關鍵 10% 可以提供對三星外部服務或工具的訪問,例如 AWS、GitHub、工件、和谷歌,”GitGuardian 的開發者倡導者 Mackenzie Jackson 解釋道。
GitGuardian 最近的一份報告顯示,在一個平均擁有 400 名開發人員的組織中,在內部源代碼存儲庫中發現了 1000 多個密鑰(Source State of Secrets Sprawl 2022)。
如果此類密鑰洩露,可能會影響三星的能力 安全地更新手機,讓對手訪問敏感的客戶信息,或者讓他們訪問三星的內部基礎設施,並能夠發起其他攻擊。
麥肯齊傑克遜補充道:
這些攻擊暴露了一個問題,許多安全行業的人已經發出警告:內部源代碼包含越來越多的敏感數據,但仍然是一種高度不可靠的資產。 源代碼可供整個公司的開發人員廣泛使用,備份在不同的服務器上,存儲在開發人員的本地機器上,甚至通過內部文檔或電子郵件服務共享。 這使它們成為對手非常有吸引力的目標,因此我們看到這些攻擊的頻率持續存在。”
在 Lapsus$ Telegram 頻道中,我們將能夠看到黑客組織如何通過向大型組織的員工發送實質上是調用以顯示其訪問權限的調用來獲得對這些存儲庫的訪問權限。
不幸的是,我們還沒有看到這樣的攻擊,該小組現在正在分享民意調查,再次通過他們的電報頻道,詢問他們的聽眾他們接下來應該洩露什麼源代碼,這表明可能會有更多的洩露。將來。
終於 如果您有興趣了解更多信息, 您可以查看詳細信息 在下面的鏈接中。