ซอร์สโค้ดของ Twitter รั่วบน GitHub อาจเป็นฝันร้ายทางไซเบอร์

ซอร์สโค้ดที่เป็นกรรมสิทธิ์ของ Twitter บางส่วนได้รับการเปิดเผยต่อสาธารณะบน Github เป็นเวลาเกือบสามเดือนแล้ว ตามข้อมูลที่รวบรวมได้จาก คำขอลบ DMCA ยื่นเมื่อวันที่ 24 มีนาคม

GitHub คือแพลตฟอร์มการโฮสต์โค้ดที่ใหญ่ที่สุดในโลก Microsoft เป็นเจ้าของ ให้บริการมากกว่า นักพัฒนา 100 ล้านคน และมี เกือบ 400 ที่เก็บ ทั้งหมด.

เมื่อวันที่ 24 มีนาคม GitHub ได้ดำเนินการตามคำขอของพนักงาน Twitter ให้ลบ "ซอร์สโค้ดที่เป็นกรรมสิทธิ์สำหรับแพลตฟอร์มและเครื่องมือภายในของ Twitter" รหัสได้รับการเผยแพร่ใน พื้นที่เก็บข้อมูลที่เรียกว่า “PublicSpace” โดยบุคคลที่มีชื่อผู้ใช้ “ผู้ชื่นชอบการพูดฟรี” ชื่อนี้มีการอ้างอิงที่ชัดเจนถึง Elon Musk casus belli สำหรับการเข้าครอบครอง Twitter ในเดือนตุลาคม (ปรัชญาที่ได้รับ ใช้งานไม่สม่ำเสมอ ในเดือนนับจากนั้น)

รหัสที่รั่วไหลอยู่ในสี่โฟลเดอร์ แม้ว่าจะไม่สามารถเข้าถึงได้ในวันที่ 24 มีนาคม แต่ชื่อโฟลเดอร์บางชื่อ เช่น "auth" และ "aws-dal-reg-svc" ดูเหมือนจะให้คำใบ้บางอย่างเกี่ยวกับสิ่งที่อยู่ภายใน

จากข้อมูลของ Ars Technica FreeSpeechEnthusiast เข้าร่วม Github เมื่อวันที่ 3 มกราคมและยอมรับรหัสที่รั่วไหลทั้งหมดในวันเดียวกันนั้น ซึ่งหมายความว่าโดยรวมแล้วรหัสนี้สามารถเข้าถึงได้โดยสาธารณะทั้งหมดเป็นเวลาเกือบสามเดือน

การรั่วไหลของซอร์สโค้ดขององค์กรเกิดขึ้นได้อย่างไร

บริษัทซอฟต์แวร์รายใหญ่สร้างขึ้นจากโค้ดหลายล้านบรรทัด และทุกๆ ครั้ง ด้วยเหตุผลใดก็ตาม โค้ดบางส่วนอาจรั่วไหลได้

“แน่นอนว่านักแสดงที่ไม่ดีมีบทบาทสำคัญ” Dwayne McDaniel ผู้สนับสนุนนักพัฒนาสำหรับ GitGuardian กล่าว “เราเห็นมันเมื่อปีที่แล้วในกรณีเช่นนี้ ซัมซุง และ Uber ที่เกี่ยวข้องกับ กลุ่มแลปซัส$".

แฮ็กเกอร์ไม่ได้เป็นส่วนหนึ่งของเรื่องราวเสมอไป ในกรณีของ Twitter หลักฐานแวดล้อมชี้ไปที่พนักงานที่ไม่พอใจ และ “ส่วนใหญ่มาจากรหัสที่ลงท้ายด้วยรหัสที่ไม่ได้เป็นเจ้าของโดยไม่ได้ตั้งใจ ดังที่เราเห็นใน Toyota ซึ่งผู้รับเหมาช่วงทำสำเนาของรหัสฐานส่วนตัวสู่สาธารณะ” เขากล่าวเสริม “ความซับซ้อนของการทำงานกับ git และ CI/CD บวกกับจำนวน repos ที่เพิ่มขึ้นเรื่อย ๆ เพื่อจัดการกับแอพพลิเคชั่นสมัยใหม่ หมายความว่าโค้ดบน repos ส่วนตัวอาจกลายเป็นสาธารณะได้โดยไม่ตั้งใจ”

ปัญหาการรั่วไหลของซอร์สโค้ดสำหรับองค์กร

สำหรับ Twitter และบริษัทต่างๆ ที่คล้ายกัน การรั่วไหลของซอร์สโค้ดอาจเป็นปัญหาใหญ่สำหรับความปลอดภัยในโลกไซเบอร์มากกว่าการละเมิดลิขสิทธิ์ เมื่อพื้นที่เก็บข้อมูลส่วนตัวกลายเป็นสาธารณะ อันตรายทุกประเภทสามารถตามมาได้

“สิ่งสำคัญคือต้องจำไว้ว่าที่เก็บข้อมูลต้นทางมักจะมีมากกว่าโค้ด” Tim Mackey นักยุทธศาสตร์ด้านความปลอดภัยหลักของ Synopsys Cybersecurity Research Center กล่าว “คุณจะพบกรณีทดสอบ ข้อมูลตัวอย่างที่อาจเป็นไปได้ พร้อมรายละเอียดเกี่ยวกับวิธีการกำหนดค่าซอฟต์แวร์”

อาจมีข้อมูลส่วนบุคคลที่ละเอียดอ่อนและข้อมูลการรับรองความถูกต้องซ่อนอยู่ในรหัส ตัวอย่างเช่น “สำหรับบางแอปพลิเคชันที่ไม่ได้ตั้งใจจะส่งให้กับลูกค้า การกำหนดค่าเริ่มต้นที่มีอยู่ในที่เก็บซอร์สโค้ดอาจเป็นเพียงการกำหนดค่าที่กำลังทำงานอยู่” Mackey กล่าว แฮ็กเกอร์สามารถใช้ข้อมูลการรับรองความถูกต้องและการกำหนดค่าที่ถูกขโมยเพื่อดำเนินการโจมตีเหยื่อของการรั่วไหลที่ใหญ่ขึ้นและดีขึ้น

นั่นเป็นเหตุผลที่ “บริษัทต่างๆ ควรใช้กลยุทธ์การจัดการความลับที่ปลอดภัยมากขึ้น โดยผสมผสานการจัดเก็บความลับเข้ากับการตรวจจับความลับ” McDaniel จาก GitGuardian กล่าว “องค์กรควรตรวจสอบสถานการณ์การรั่วไหลของความลับในปัจจุบันด้วย เพื่อทราบว่าระบบใดมีความเสี่ยงหากเกิดการรั่วไหลของรหัส และควรให้ความสำคัญกับจุดใด”

แต่ในกรณีที่การรั่วไหลมาจากภายใน เช่น ของ Twitter จะต้องมีความระมัดระวังมากยิ่งขึ้น จำเป็นต้องมีการสร้างแบบจำลองภัยคุกคามและการวิเคราะห์การจัดการซอร์สโค้ดขององค์กรอย่างละเอียด Mackey กล่าว

“นี่เป็นสิ่งสำคัญเพราะหากมีคนสามารถทำให้ซอร์สโค้ดรั่วไหลได้ พวกเขาก็อาจสามารถเปลี่ยนซอร์สโค้ดได้เช่นกัน” เขากล่าว “หากคุณไม่ได้ใช้การยืนยันตัวตนแบบหลายปัจจัยในการเข้าถึง บังคับใช้การเข้าถึงแบบจำกัดเฉพาะผู้ใช้ที่ได้รับอนุมัติ บังคับใช้สิทธิ์การเข้าถึง และการตรวจสอบการเข้าถึง คุณอาจไม่มีภาพรวมว่าอาจมีคนใช้ประโยชน์จากสมมติฐานที่ทีมพัฒนาของคุณตั้งขึ้นเมื่อพวกเขา รักษาความปลอดภัยที่เก็บซอร์สโค้ดของพวกเขา”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/attacks-breaches/twitter-source-code-leak-github-potential-cyber-nightmare