أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
تنبيه: تسرب أكثر من 80 ألف كلمة مرور ومفاتيح من الحكومات والبنوك وشركات التكنولوجيا عبر الإنترنت
- اكتشف باحثون أكثر من 80 ألف كلمة مرور ومفاتيح وملفات حساسة مسربة على أدوات تنسيق التعليمات البرمجية الشائعة عبر الإنترنت.
- وتتأثر الحكومات والبنوك وشركات التكنولوجيا ومنظمات البنية التحتية الحيوية، حيث يقوم المهاجمون بالفعل بجمع البيانات المكشوفة وإساءة استخدامها.
- يكشف التحقيق أيضًا عن وجود خلل خطير في تجاوز المصادقة في Vault Terraform Provider التابع لشركة HashiCorp والذي يؤثر على تكوينات LDAP.
كشفت شركة الأمن السيبراني watchTowr عن مجموعة من كلمات المرور المسربة ومفاتيح الوصول وملفات التكوين الحساسة التي تم الكشف عنها عن غير قصد من أدوات التنسيق عبر الإنترنت الشهيرة، JSON formatter، وCodeBeautify.
أعلنت شركة watchTowr Labs أنها جمعت مجموعة بيانات تحتوي على أكثر من 80,000 ملف من مواقع تُستخدم لتنسيق الأكواد البرمجية والتحقق من صحتها. وعثر الباحثون داخل هذه الملفات على أسماء مستخدمين، وكلمات مرور، ومفاتيح مصادقة المستودع، وبياناتdentActive Directory، وسلاسل اتصال قاعدة البيانات، وبياناتdentFTP، ومفاتيح وصول إلى بيئة السحابة، وتفاصيل تكوين LDAP، ومفاتيح API لخدمة الدعم الفني، وحتى تسجيلات لجلسات SSH.
"لقد بحثنا مطولاً في المنصات التي يستخدمها المطورون لتنسيق مدخلاتهم بسرعة - مثل JSONFormatter و CodeBeautify. ونعم، أنت محق - لقد سارت الأمور بشكل سيئ تمامًا كما تتوقع"، هذا ما جاء يوم الثلاثاء.
تُستخدم أدوات الإنترنت، مثل JSONFormatter وCodeBeautify، لتجميل أو التحقق من صحة تنسيقات البيانات، حيث يلصق المطورون أجزاءً من التعليمات البرمجية أو ملفات التكوين فيها لاستكشاف مشاكل التنسيق وإصلاحها. ولكن وفقًا للباحثين، يلصق العديد من الموظفين، دون علمهم، ملفات كاملة تحتوي على أسرار مباشرة من أنظمة الإنتاج.
تسريب بيانات JSON وCodeBeautify من الحكومة والبنوك وقطاع الرعاية الصحية
وفقًا لشركة الأمن، لم يؤثر ثغرة البيانات المسربة بعد على ثلاث منصات، بما في ذلك مستودعات GitHub، ومساحات عمل Postman، وحاويات DockerHub. ومع ذلك، فقد عثرت على خمس سنوات من المحتوى التاريخي من JSONFormatter وسنة واحدة من المحتوى التاريخي من CodeBeautify، بإجمالي أكثر من 5 غيغابايت من مواد JSON المُثرية والمُعلّقة.
"إن الشعبية كبيرة جدًا لدرجة أن المطور الوحيد وراء هذه الأدوات مستوحى إلى حد ما - حيث تؤدي الزيارة النموذجية إلى الصفحة الرئيسية لأي أداة إلى إثارة أكثر من 500 طلب ويب بسرعة كبيرة لتوليد ما نفترض أنه بعض إيرادات التسويق بالعمولة الرائعة"، أوضحت مجموعة الأمن السيبراني.
بالمنظمات من الصناعات مثل البنية التحتية الوطنية والوكالات الحكومية والمؤسسات المالية الكبرى وشركات التأمين ومقدمي التكنولوجيا وشركات البيع بالتجزئة والمنظمات الفضائية والاتصالات والمستشفيات والجامعات وشركات السفر وحتى بائعي الأمن السيبراني تعرضت جميعها للخطر المعلومات الخاصة .
وكتب الباحث الأمني جيك نوت في تدوينة على مدونته: "تحظى هذه الأدوات بشعبية كبيرة، وتظهر بالقرب من أعلى نتائج البحث لمصطلحات مثل "تجميل JSON" و"أفضل مكان للصق الأسرار" (ربما غير مثبتة)، وتستخدمها المؤسسات والمسؤولون في كل من بيئات المؤسسات والمشاريع الشخصية".
أدرجت watchTowr Labs عدة فئات من البيانات الحساسة الموجودة داخل الملفات المكشوفة مثل بياناتdentActive Directory، ومفاتيح مصادقة مستودع التعليمات البرمجية، وتفاصيل الوصول إلى قاعدة البيانات، ومعلومات تكوين LDAP، ومفاتيح بيئة السحابة، وبياناتdentتسجيل الدخول FTP، ومفاتيح خط أنابيب CI/CD، والمفاتيح الخاصة، وطلبات واستجابات واجهة برمجة التطبيقات الكاملة ذات المعلمات الحساسة.
وذكر المحققون أيضًا أسرار Jenkins وملفات التكوين المشفرة التابعة لشركة للأمن السيبراني، ومعلومات "اعرف عميلك" من البنوك، وبياناتdentAWS التابعة لبورصة مالية رئيسية كانت متصلة بأنظمة Splunk.
watchTowr: جهات خبيثة تسرق التسريبات
بحسب تحليل الأضرار الذي أجرته شركة watchTowr Labs، فقد جُمعت العديد من المفاتيح المسربة واختُبرت من قِبل جهات مجهولة. وفي تجربةٍ، قام باحثون بتحميل مفاتيح وصول مزيفة لخدمات AWS إلى إحدى منصات التهيئة، وفي غضون يومين تقريبًا، حاول مُخترقون استغلال بيانات الاعتمادdent.
وتابع نوت قائلاً: "يرجع ذلك في الغالب إلى أن شخصًا ما يستغلها بالفعل، وهذا كله غبي حقًا، فنحن لا نحتاج إلى المزيد من منصات الوكلاء التي تعتمد على الذكاء الاصطناعي؛ نحن بحاجة إلى عدد أقل من المنظمات المهمة التي تقوم بلصق بياناتdentفي مواقع ويب عشوائية".
عطّلت JSONFormatter وCodeBeautify مؤقتًا خاصية الحفظ في سبتمبر، عندما لفت انتباههما الخلل الأمني. كانتا تعملان على تحسين JSONFormatter، بينما أعلنت CodeBeautify أنها تطبق إجراءات جديدة مُحسّنة لمنع المحتوى غير الآمن للعمل (NSFW).
مشكلة أمنية في مزود Vault Terraform التابع لشركة HashiCorp
بعيدًا عنdentالاعتماد المسربة، اكتشفت شركة HashiCorp، التابعة لشركة IBM ومقرها سان فرانسيسكو، ثغرة أمنية قد تسمح للمهاجمين بتجاوز المصادقة في مزود Vault Terraform الخاص بها. تُزوّد الشركة المطورين والشركات ومؤسسات الأمن ببنية تحتية للحوسبة السحابية وخدمات حماية.
شركة البرمجيات لنتائج التي تم نشرها يوم الثلاثاء، فإن ثغرة Vault Terraform تؤثر على الإصدارات من v4.2.0 إلى v5.4.0 من خلال تكوين افتراضي غير آمن في طريقة مصادقة LDAP.
تنشأ المشكلة بسبب ضبط معلمة "deny_null_bind" على "خطأ" بدلاً من "صحيح" عند تهيئة موفر الخدمة لواجهة مصادقة LDAP في Vault. تحدد هذه المعلمة ما إذا كان Vault سيرفض كلمة مرور خاطئة أو عمليات ربط غير مُصادق عليها.
إذا كان خادم LDAP المتصل يسمح بالارتباطات المجهولة، فيمكن للمهاجمين مصادقة الحسابات والوصول إليها دون أي بياناتdentصالحة.
هل ما زلت تسمح للبنك بالاحتفاظ بأفضل جزء؟ شاهد الفيديو المجاني الخاص بنا حول كيفية أن تكون مصرفك الخاص.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtrondentdentdentdentdentdentdentdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)