Noe av Twitters proprietære kildekode hadde vært offentlig tilgjengelig på Github i nesten tre måneder, ifølge informasjon hentet fra en DMCA fjerningsforespørsel innlevert 24. mars.
GitHub er verdens største kodevertsplattform. Eid av Microsoft, tjener den mer enn 100 millioner utviklere og inneholder nesten 400 depoter i alt.
Den 24. mars imøtekommet GitHub en Twitter-ansatts forespørsel om å fjerne "proprietær kildekode for Twitters plattform og interne verktøy." Koden ble publisert i en depot kalt "PublicSpace," av en person med brukernavnet "FreeSpeech Entusiast." Navnet er en tilsynelatende referanse til Elon Musks casus belli for å ha overtatt Twitter i oktober (en filosofi som har vært ujevnt gjennomført i måneder siden).
Den lekkede koden lå i fire mapper. Selv om de var utilgjengelige fra 24. mars, ser det ut til at noen av mappenavnene - som "auth" og "aws-dal-reg-svc" - gir noen hint om hva de inneholdt.
Ifølge Ars Technica sluttet FreeSpeechEnthusiast seg til Github 3. januar og begikk all lekkasje samme dag. Det betyr i alt at koden var fullstendig tilgjengelig for publikum i nesten tre måneder.
Hvordan Enterprise-kildekodelekkasjer skjer
Store programvareselskaper er bygget på millioner av linjer med kode, og av og til, av en eller annen grunn, kan noe av det lekke.
"Dårlige skuespillere spiller selvfølgelig en stor rolle," sier Dwayne McDaniel, utvikleradvokat for GitGuardian. "Vi så det i fjor i tilfeller som Samsung og Uber involverer Lapsus$-gruppen».
Hackere er imidlertid ikke alltid en del av historien. I Twitters tilfelle peker omstendigheter på en misfornøyd ansatt. Og "en god del av det kommer også fra kode som havner der den ikke hører hjemme utilsiktet, som vi så med Toyota, der en underleverandør offentliggjorde en kopi av en privat kodebase," legger han til. "Kompleksiteten ved å jobbe med git og CI/CD kombinert med et stadig økende antall reposer å håndtere for moderne applikasjoner betyr at kode på private reposer kan bli offentlig ved en feiltakelse."
Problemet med kildekodelekkasjer for bedrifter
For Twitter og lignende selskaper kan kildekodelekkasjer være et mye større problem for cybersikkerhet enn brudd på opphavsrett. Når et privat depot blir offentlig, kan alle slags skader følge.
"Det er viktig å huske at kildedepoter ofte inneholder mer enn bare koden," bemerker Tim Mackey, hovedsikkerhetsstrateg for Synopsys Cybersecurity Research Center. "Du vil finne testtilfeller, potensielt eksempeldata sammen med detaljer om hvordan programvaren skal konfigureres."
Det kan også være sensitiv personlig informasjon og autentiseringsinformasjon skjult i koden. For eksempel, "for noen applikasjoner som aldri er ment å bli sendt til kunder, kan standardkonfigurasjonen i kildekodelageret bare være den kjørende konfigurasjonen," sier Mackey. Hackere kan bruke stjålne autentiserings- og konfigurasjonsdata for å utføre større og bedre angrep mot offeret for en lekkasje.
Det er grunnen til at "selskaper bør ta i bruk en sikrere strategi for håndtering av hemmeligheter, som kombinerer lagring av hemmeligheter med deteksjon av hemmeligheter," sier GitGuardians McDaniel. "Organisasjoner bør også revidere sin nåværende hemmelige lekkasjesituasjon for å vite hvilke systemer som er i fare hvis en kodelekkasje oppstår, og hvor de skal fokusere på prioritering."
Men i tilfeller der lekkasjen kommer fra innsiden - som Twitters - er enda større forsiktighet berettiget. Det krever grundig trusselmodellering og analyse av en bedrifts kildekodehåndtering, sier Mackey.
"Dette er viktig fordi hvis noen kan utløse en kildekodelekkasje, kan de også ha muligheten til å endre kildekoden," sier han. "Hvis du ikke bruker multifaktorautentisering for tilgang, håndhever begrenset tilgang til kun godkjente brukere, håndhever tilgangsrettigheter og tilgangsovervåking, så har du kanskje ikke et fullstendig bilde av hvordan noen kan utnytte forutsetningene utviklingsteamene dine har gjort når de sikret kildekodelageret deres."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/attacks-breaches/twitter-source-code-leak-github-potential-cyber-nightmare
- :er
- $OPP
- 100
- 7
- a
- evne
- adgang
- tilgjengelig
- Ifølge
- aktører
- Legger
- adoptere
- advokat
- mot
- Alle
- alltid
- analyse
- og
- En annen
- tilsynelatende
- søknader
- godkjent
- ER
- AS
- At
- Angrep
- revisjon
- Auth
- Autentisering
- tilgjengelig
- tilbake
- dårlig
- BE
- fordi
- bli
- blir
- Bedre
- større
- bygget
- by
- som heter
- CAN
- fangst
- bære
- saken
- saker
- sentrum
- endring
- kode
- kodebase
- kombinert
- kombinere
- forpliktet
- Selskaper
- kompleksitet
- Konfigurasjon
- inneholde
- inneholder
- copyright
- brudd på opphavsretten
- Kurs
- Gjeldende
- Kunder
- cyber
- Cybersecurity
- dato
- dag
- avtale
- Misligholde
- detaljer
- Gjenkjenning
- Utvikler
- Utvikling
- Elon
- Elon Musk
- Ansatt
- håndheving
- Enterprise
- fullstendig
- Selv
- stadig voksende
- Hver
- bevis
- eksempel
- Exploit
- Finn
- Fokus
- følge
- Til
- fra
- fullt
- gå
- GitHub
- Gi
- god
- større
- hackere
- Ha
- skjult
- hedret
- Hosting
- Hvordan
- HTTPS
- viktig
- in
- utilgjengelige
- individuelt
- informasjon
- overtredelse
- intern
- IT
- jan
- ble med
- Vet
- største
- Siste
- I fjor
- lekke
- Lekkasjer
- i likhet med
- Begrenset
- begrenset tilgang
- linjer
- laget
- større
- ledelse
- Mars
- max bredde
- midler
- Microsoft
- kunne
- millioner
- millioner
- feil
- Moderne
- overvåking
- måneder
- mer
- multifaktorautentisering
- Musk
- navn
- navn
- nesten
- Merknader
- Antall
- oktober
- of
- on
- ONE
- organisasjoner
- eide
- del
- personlig
- filosofi
- bilde
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- poeng
- potensiell
- potensielt
- Principal
- prioritering
- privat
- Problem
- proprietær
- offentlig
- offentlig
- publisert
- RE
- grunnen til
- husker
- fjerne
- Repository
- anmode
- Krever
- forskning
- rettigheter
- Risiko
- Rolle
- rennende
- s
- samme
- sier
- Skjerm
- sikre
- sikret
- sikkerhet
- sensitive
- serverer
- levert
- bør
- siden
- situasjon
- So
- Software
- noen
- Noen
- kilde
- kildekoden
- stjålet
- lagring
- Story
- Strategist
- Strategi
- Systemer
- ta
- lag
- test
- Det
- De
- Kilden
- verden
- deres
- trussel
- tre
- Tim
- til
- verktøy
- toyota
- utløse
- bruke
- Brukere
- Offer
- Hva
- hvilken
- med
- innenfor
- arbeid
- verden
- år
- Du
- Din
- zephyrnet
