Хакеры могут использовать эту неприятную ошибку для раскрытия правительственных веб-сайтов.

Дядя Влад

По данным исследователей кибербезопасности из Defense.com , около 332 000 веб-сайтов подверглись воздействию злоумышленников в результате уязвимости в инструменте разработки с открытым исходным кодом Git.

Как сообщает TechRadar , среди этих веб-сайтов 2500 связаны с доменом .gov в разных странах, что подвергает различные организации риску онлайн-атак и нечестного использования данных.

Цифровой зашифрованный замок с многоуровневыми данными.
Цифровой зашифрованный замок с многоуровневыми данными. Гетти Изображений

Исследователи утверждают, что уязвимость возникла не столько из-за проблемы с Git, сколько из-за того, что пользователи не защищают свои файлы с помощью надлежащих антивирусных протоколов. Из-за того, что инструменты с открытым исходным кодом представляют собой самый простой код любой программы, их можно легко подделать, если они не защищены. В этом случае хакеры могут получить доступ к папкам и загрузить данные из госструктур.

«Технологии с открытым исходным кодом всегда могут иметь недостатки в безопасности, поскольку они коренятся в общедоступном коде. Однако такой уровень уязвимости неприемлем», — заявил TechRadar Оливер Пинсон-Роксбург, генеральный директор Defense.com.

Он добавил, что правительство Великобритании было среди организаций, чьи домены были раскрыты, и им следует «контролировать свои системы и предпринимать немедленные шаги для устранения рисков».

Исследователи Defense.com также пояснили, что один файл в папке может содержать данные полной истории кодовой базы, включая «предыдущие изменения кода, комментарии, ключи безопасности, а также конфиденциальные удаленные пути, содержащие секреты и файлы с открытыми паролями. ” Как правило, пользователями с таким доступом могут быть те, у кого есть учетные данные для устранения проблем, а не для их эксплуатации. В некоторых папках хранятся учетные данные для входа и ключи API, которые могут дать недружественным пользователям доступ к еще более конфиденциальной информации.

Пинсон-Роксбург отметил, что некоторые организации могут оставлять открытыми определенные папки для своих конкретных целей; однако есть еще много других, которые могут неосознанно находиться под угрозой утечки данных.

Git обслуживает очень популярную базу пользователей, насчитывающую более 80 миллионов активных пользователей. Это может быть напоминанием для организаций об обновлении антивирусного протокола, особенно когда речь идет о программах с открытым исходным кодом.

Недавно фирма по кибербезопасности Buguard сообщила о бренде Wiseasy, который хорошо известен в Азиатско-Тихоокеанском регионе своей платежной системой на базе Android. Сопровождающий его облачный сервис Wisecloud был взломан с помощью компьютерных паролей сотрудников, которые были украдены вредоносным ПО и попали на рынок даркнета. Это позволило злоумышленникам проникнуть в базу данных бренда и получить доступ к 140 000 платежных терминалов по всему миру.

Примечательно, что в популярном бренде платежной системы отсутствовали обычно рекомендуемые функции безопасности, такие как двухфакторная аутентификация . Android также известен тем, что по своей сути является открытым исходным кодом.