أخبار التقنية

First LastPass ، الآن Slack و CircleCI. استمرار الاختراقات (ومن المرجح أن تتفاقم)


في الساعات الأربع والعشرين الماضية ، علم العالم بحدوث انتهاكات خطيرة لخدمة الدردشة Slack وشركة اختبار البرامج وتسليمها CircleCI ، على الرغم من إعطاء صياغة غامضة للشركات – “مشكلة أمنية” و “حادث أمني” على التوالي – ستغفر للاعتقاد بأن هذه الأحداث كانت ثانوية.

تأتي التنازلات – في حالة Slack ، وسرقة بيانات اعتماد الرمز المميز للموظفين ، وبالنسبة لـ CircleCI ، الكشف المحتمل لجميع أسرار العملاء التي يخزنها – بعد أسبوعين من كشف مدير كلمات المرور LastPass عن فشل الأمان الخاص به: سرقة خزانات كلمات مرور العملاء التي تحتوي على بيانات حساسة في شكل نص مشفر وواضح. ليس من الواضح ما إذا كانت الخروقات الثلاثة مرتبطة ببعضها البعض ، لكن هذا بالتأكيد احتمال.

الأكثر إثارة للقلق من بين الانتهاكين الجديدين هو اختراق CircleCI. وأبلغت الشركة ، مساء الأربعاء ، عن “حادث أمني” دفعها إلى نصح العملاء بتدوير “جميع الأسرار” التي يخزنونها على الخدمة. أبلغ التنبيه العملاء أيضًا أنه أبطل الرموز المميزة لـ Project API الخاصة بهم ، وهو حدث يتطلب منهم الخوض في متاعب استبدالها.

تقول CircleCI إنها تستخدم من قبل أكثر من مليون مطور لدعم 30 ألف مؤسسة وتدير ما يقرب من مليون وظيفة يومية. قد يكون الكشف المحتمل لكل هذه الأسرار – والتي قد تكون بيانات اعتماد تسجيل الدخول ورموز الوصول ومن يعرف ماذا أيضًا – كارثيًا على أمان الإنترنت بالكامل.

نقص الشفافية

لا تزال شركة CircleCI متكتمة بشأن ما حدث بالضبط. لم يستخدم تحذيرها أبدًا كلمات “خرق” أو “تسوية” أو “اقتحام” ، لكن هذا ما حدث بالتأكيد. الشكل أ هو البيان: “في هذه المرحلة ، نحن واثقون من عدم وجود جهات فاعلة غير مصرح لها نشطة في أنظمتنا” ، مما يشير إلى أن المتطفلين على الشبكة كانوا نشطين في وقت سابق. الشكل ب: نصيحة مفادها أن العملاء يتحققون من السجلات الداخلية للوصول غير المصرح به بين 21 ديسمبر و 4 يناير.

عند جمع البيانات معًا ، ليس من المبالغة الشك في أن الجهات الفاعلة المهددة كانت نشطة داخل أنظمة CircleCI لمدة أسبوعين. هذا متسع من الوقت لجمع كمية لا يمكن تصورها من بعض البيانات الأكثر حساسية في الصناعة.

وفي الوقت نفسه ، فإن نصيحة سلاك غير شفافة بالمثل. إنه بتاريخ 31 ديسمبر ، لكن أرشيفات الإنترنت لم تره حتى يوم الخميس ، بعد خمسة أيام. من الواضح أن Slack لم يكن في عجلة من أمره ليصبح الحدث معروفًا على نطاق واسع.

مثل إفصاح CircleCI ، يبتعد تنبيه Slack أيضًا عن اللغة الملموسة ويستخدم بدلاً من ذلك العبارة المنفعلة “تمت سرقتها وإساءة استخدامها” دون توضيح كيفية القيام بذلك. إضافة إلى عدم الصراحة: قامت الشركة بتضمين علامة HTML في المنشور في محاولة لمنع محركات البحث من فهرسة التنبيه.

بعد الحصول على الرموز المميزة لموظف Slack ، أساء ممثل التهديد استخدامها للوصول إلى حساب GitHub الخارجي للشركة. من هناك ، قام المتسللون بتنزيل مستودعات الأكواد الخاصة. يشدد الاستشارة على أن عملائها لم يتأثروا وأن “المهاجم لم يصل إلى مناطق أخرى من بيئة Slack ، بما في ذلك بيئة الإنتاج ، ولم يتمكنوا من الوصول إلى موارد Slack الأخرى أو بيانات العملاء.”

يجب أن يأخذ العملاء البيان بمساعدة سخية للعقل. تذكر استشاري LastPass من أغسطس؟ استخدمت أيضًا العبارة الغامضة “حادثة أمنية” وقالت “لم يتم الوصول إلى بيانات العملاء” ، فقط لتكشف عن المدى الحقيقي في آخر يوم عمل رئيسي من عام 2022. لن يكون مفاجئًا إذا قامت Slack أو CircleCI بتحديث إرشاداتها للكشف عن مزيد من الوصول إلى بيانات العملاء أو الأجزاء الأكثر حساسية من شبكاتهم.

قرصنة سلسلة التوريد

من الممكن أيضًا أن تكون بعض هذه الانتهاكات أو كلها مرتبطة ببعضها البعض. يعتمد الإنترنت على نظام بيئي ضخم لشبكات توصيل المحتوى ، وخدمات المصادقة ، وصانعي أدوات تطوير البرمجيات ، وشركات أخرى. كثيرًا ما يخترق ممثلو التهديد شركة واحدة ويستخدمون البيانات أو الوصول الذي يحصلون عليه لخرق عملاء أو شركاء تلك الشركة.

كان هذا هو الحال مع خرق أغسطس لمزود الأمان Twilio الذي أدى إلى تسوية Okta و Signal و DoorDash وأكثر من 130 شركة أخرى.

حدث شيء مشابه في الأيام الأخيرة من عام 2020 عندما اخترق المتسللون الرياح الشمسية ، واكتسبوا السيطرة على نظام بناء البرمجيات ، واستخدموه لإصابة ما يقرب من 40 من عملاء Solar Winds.

في الوقت الحالي ، يجب أن يستعد الأشخاص للإفصاحات الإضافية من الشركات التي يعتمدون عليها. يعد فحص سجلات النظام الداخلية بحثًا عن إدخالات مشبوهة ، وتشغيل المصادقة متعددة العوامل ، وتصحيح أنظمة الشبكات أفكارًا جيدة دائمًا ، ولكن نظرًا للأحداث الجارية ، يجب تسريع هذه الاحتياطات. يجدر أيضًا التحقق من السجلات بحثًا عن أي جهة اتصال بعنوان IP 54.145.167.181 ، وهو أحد ممارسي الأمان قال كان متصلاً بخرق CircleCI.

يجب أن يتذكر الناس أيضًا أنه على الرغم من تأكيدات الشركات بالشفافية ، فإن إفصاحاتهم المختصرة والمصاغة بعناية مصممة لإخفاء أكثر مما تكشف.



مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى