Nekatere Twitterjeve lastniške izvorne kode so bile javno dostopne na Githubu skoraj tri mesece, glede na informacije, zbrane iz Zahteva za odstranitev DMCA vloženo 24. marca.
GitHub je največja svetovna platforma za gostovanje kode. V lasti Microsofta služi več kot 100 milijonov razvijalcev in vsebuje skoraj 400 skladišč v vsem.
24. marca je GitHub ugodil zahtevi zaposlenega v Twitterju, da odstrani "lastniško izvorno kodo za Twitterjevo platformo in interna orodja." Koda je bila objavljena v a repozitorij, imenovan "PublicSpace," posameznik z uporabniškim imenom “FreeSpeechEnthusiast.” Ime se očitno nanaša na Elona Muska casus belli za prevzem Twitterja oktobra (filozofija, ki je bila neenakomerno izvajajo v mesecih od takrat).
Razkrita koda je bila shranjena v štirih mapah. Čeprav nedostopna od 24. marca, se zdi, da nekatera imena map, kot sta »auth« in »aws-dal-reg-svc«, namigujejo na to, kaj vsebujejo.
Po navedbah Ars Technica se je FreeSpeechEnthusiast Githubu pridružil 3. januarja in istega dne objavil vso razkrito kodo. To pomeni, da je bila koda v celoti dostopna javnosti skoraj tri mesece.
Kako pride do uhajanja izvorne kode podjetja
Večja podjetja, ki se ukvarjajo s programsko opremo, so zgrajena na milijonih vrstic kode in vsake toliko časa lahko iz enega ali drugega razloga nekaj odteče.
»Slabi igralci seveda igrajo pomembno vlogo,« pravi Dwayne McDaniel, zagovornik razvijalcev za GitGuardian. »To smo videli lani v primerih, kot je Samsung in Uber vključujejo skupina Lapsus$«.
Vendar hekerji niso vedno del zgodbe. V primeru Twitterja posredni dokazi kažejo na nezadovoljnega zaposlenega. In "velik del tega izvira tudi iz kode, ki nehote konča tja, kamor ne spada, kot smo videli pri Toyoti, kjer je podizvajalec javno objavil kopijo zasebne kodne baze," dodaja. "Zapletenost dela z git in CI/CD v kombinaciji z vedno večjim številom repozitorjev, s katerimi se ukvarjajo sodobne aplikacije, pomeni, da lahko koda na zasebnih repozitorjih po pomoti postane javna."
Problem uhajanja izvorne kode za podjetja
Za Twitter in njemu podobna podjetja je lahko uhajanje izvorne kode veliko večja težava za kibernetsko varnost kot kršitev avtorskih pravic. Ko zasebno skladišče postane javno, lahko sledijo vse vrste škode.
»Pomembno si je zapomniti, da izvorna skladišča pogosto vsebujejo več kot le kodo,« ugotavlja Tim Mackey, glavni varnostni strateg pri Synopsys Cybersecurity Research Center. "Našli boste testne primere, potencialno vzorčne podatke skupaj s podrobnostmi o tem, kako naj bo programska oprema konfigurirana."
V kodi so lahko tudi skriti občutljivi osebni podatki in podatki za preverjanje pristnosti. Na primer, »za nekatere aplikacije, ki nikoli niso namenjene pošiljanju strankam, je lahko privzeta konfiguracija v repozitoriju izvorne kode samo tekoča konfiguracija,« pravi Mackey. Hekerji lahko uporabijo ukradene podatke za preverjanje pristnosti in konfiguracijo za izvedbo večjih in boljših napadov na žrtev uhajanja podatkov.
Zato bi morala »podjetja sprejeti bolj varno strategijo upravljanja skrivnosti, ki združuje shranjevanje skrivnosti z odkrivanjem skrivnosti,« pravi McDaniel iz GitGuardiana. "Organizacije bi morale pregledati tudi svoje trenutne tajne(-e) situacije uhajanja, da bi vedele, kateri sistemi so ogroženi, če pride do uhajanja kode, in kam naj se osredotočijo na prednostno razvrščanje."
Toda v primerih, ko puščanje prihaja od znotraj - kot je Twitter - je potrebna še večja previdnost. Zahteva temeljito modeliranje groženj in analizo upravljanja izvorne kode podjetja, pravi Mackey.
»To je pomembno, ker če lahko nekdo sproži uhajanje izvorne kode, potem lahko tudi spremeni izvorno kodo,« pravi. »Če za dostop ne uporabljate večfaktorske avtentikacije, ne uveljavljate omejenega dostopa samo za odobrene uporabnike, ne uveljavljate pravic dostopa in ne spremljate dostopa, potem morda nimate popolne slike o tem, kako bi lahko nekdo izkoristil predpostavke, ki so jih naredile vaše razvojne skupine, ko zavarovali svoje skladišče izvorne kode."
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.darkreading.com/attacks-breaches/twitter-source-code-leak-github-potential-cyber-nightmare
