هکرها می توانند از یک باگ بد برای افشای وب سایت های دولتی استفاده کنند
به گفته محققان امنیت سایبری در Defense.com، حدود 332000 وب سایت به دلیل آسیب پذیری در ابزار توسعه منبع باز Git در معرض عوامل بد قرار گرفته اند.
همانطور که توسط TechRadar گزارش شده است، در میان این وب سایت ها، 2500 وب سایت با دامنه های .gov در کشورهای مختلف مرتبط هستند و سازمان های مختلف را در معرض خطر حملات آنلاین و استفاده جعلی از داده ها قرار می دهد.
محققان می گویند که این آسیب پذیری نه چندان به دلیل مشکل Git، بلکه به این دلیل است که کاربران از فایل های خود با پروتکل های ضد ویروس مناسب محافظت نمی کنند. با توجه به ماهیت ابزارهای متن باز که کد اصلی هر برنامه ای هستند، در صورت عدم ایمن سازی به راحتی می توان آنها را دستکاری کرد. در این صورت، هکرها می توانند به پوشه ها دسترسی پیدا کرده و داده ها را از سازمان های دولتی دانلود کنند.
“فناوری منبع باز همیشه پتانسیل نقص های امنیتی را دارد زیرا در کدهای در دسترس عموم ریشه دارد. با این حال، این سطح از آسیب پذیری قابل قبول نیست.»
وی افزود که دولت بریتانیا از جمله سازمانهایی است که دامنههای در معرض دید دارد که باید «سیستمهای خود را نظارت کرده و اقدامات فوری برای رفع خطر انجام دهد».
محققان Defence.com همچنین توضیح دادند که یک فایل واحد در یک پوشه میتواند شامل تاریخچه کامل یک پایگاه کد، از جمله «تغییرات کد قبلی، نظرات، کلیدهای امنیتی، و همچنین مسیرهای راه دور حساس حاوی اسرار و فایلهای رمز عبور در متن ساده باشد.» معمولاً، کاربران با چنین دسترسی ممکن است کسانی باشند که به جای استفاده از آنها، اعتباری برای رفع مشکلات دارند. برخی از پوشه ها حاوی اعتبار ورود و کلیدهای API هستند که می توانند به کاربران غیر دوستانه دسترسی به اطلاعات حساس تری را بدهند.
پینسون-راکسبورگ خاطرنشان کرد که برخی از سازمان ها ممکن است پوشه های خاصی را برای اهداف خاص خود باز بگذارند. با این حال، هنوز هم بسیاری دیگر وجود دارند که ممکن است ناآگاهانه در معرض خطر نقض داده ها باشند.
Git به یک پایگاه کاربری بسیار محبوب با بیش از 80 میلیون کاربر فعال خدمات ارائه می دهد. این می تواند یادآوری برای سازمان ها باشد تا پروتکل آنتی ویروس خود را به روز کنند، به خصوص در مورد برنامه های منبع باز.
شرکت امنیت سایبری Buguard اخیراً در مورد نام تجاری Wiseeasy گزارش داده است که در منطقه آسیا و اقیانوسیه به دلیل سیستم پرداخت مبتنی بر اندروید خود شناخته شده است. سرویس ابری همراه Wisecloud با استفاده از رمزهای عبور رایانه کارکنان که توسط بدافزار به سرقت رفته بود هک شد و به بازار تاریک وب ختم شد. این به بازیکنان بد اجازه می داد تا به پایگاه داده برند نفوذ کنند و به 140000 پایانه پرداخت در سراسر جهان دسترسی پیدا کنند.
قابل ذکر است، نام تجاری محبوب سیستم پرداخت فاقد ویژگی های امنیتی معمول توصیه شده مانند احراز هویت دو مرحله ای است. اندروید همچنین به دلیل منبع باز بودن در هسته خود به خوبی شناخته شده است.
توصیه های سردبیران