Mã nguồn của Twitter bị rò rỉ trên GitHub, một cơn ác mộng mạng tiềm ẩn

Một số mã nguồn độc quyền của Twitter đã được công khai trên Github trong gần ba tháng, theo thông tin thu thập được từ một trang web. Yêu cầu gỡ xuống theo DMCA nộp vào ngày 24 tháng XNUMX.

GitHub là nền tảng lưu trữ mã lớn nhất thế giới. Thuộc sở hữu của Microsoft, nó phục vụ hơn 100 triệu nhà phát triển và chứa gần 400 kho trong tất cả các.

Vào ngày 24 tháng XNUMX, GitHub đã tôn trọng yêu cầu của nhân viên Twitter về việc xóa “mã nguồn độc quyền cho nền tảng và các công cụ nội bộ của Twitter”. Mã đã được xuất bản trong một kho lưu trữ có tên là “PublicSpace,” bởi một cá nhân có tên người dùng “FreeSpeechNgười nhiệt tình.” Cái tên này rõ ràng là ám chỉ đến Elon Musk casus belli vì đã tiếp quản Twitter vào tháng 10 (một triết lý đã được áp dụng thực hiện không đồng đều trong nhiều tháng kể từ đó).

Mã bị rò rỉ được chứa trong bốn thư mục. Mặc dù không thể truy cập được kể từ ngày 24 tháng XNUMX, một số tên thư mục — như “auth” và “aws-dal-reg-svc” — dường như đưa ra một số gợi ý về những gì chúng chứa bên trong.

Theo Ars Technica, FreeSpeechEnthusiast đã tham gia Github vào ngày 3 tháng XNUMX và thực hiện tất cả các mã bị rò rỉ cùng ngày hôm đó. Nói chung, điều đó có nghĩa là công chúng hoàn toàn có thể truy cập được mã này trong gần ba tháng.

Rò rỉ mã nguồn doanh nghiệp xảy ra như thế nào

Các công ty phần mềm lớn được xây dựng trên hàng triệu dòng mã và đôi khi, vì lý do này hay lý do khác, một số mã có thể bị rò rỉ.

Dwayne McDaniel, nhà phát triển ủng hộ GitGuardian, cho biết: “Tất nhiên, những kẻ xấu đóng một vai trò quan trọng”. “Chúng tôi đã thấy điều đó vào năm ngoái trong những trường hợp như Samsung và Uber liên quan đến nhóm Lapsus$".

Tuy nhiên, tin tặc không phải lúc nào cũng là một phần của câu chuyện. Trong trường hợp của Twitter, bằng chứng gián tiếp chỉ ra một nhân viên không hài lòng. Và “phần lớn nó cũng xuất phát từ việc mã kết thúc ở nơi nó không thuộc về chủ ý, như chúng ta đã thấy với Toyota, nơi một nhà thầu phụ tạo một bản sao của cơ sở mã riêng tư thành công khai,” ông nói thêm. “Sự phức tạp khi làm việc với git và CI/CD kết hợp với số lượng kho lưu trữ ngày càng tăng cần xử lý cho các ứng dụng hiện đại có nghĩa là mã trên các kho lưu trữ riêng tư có thể bị công khai do nhầm lẫn.”

Vấn đề rò rỉ mã nguồn cho doanh nghiệp

Đối với Twitter và các công ty tương tự, rò rỉ mã nguồn có thể là một vấn đề lớn hơn nhiều đối với an ninh mạng so với vi phạm bản quyền. Khi một kho lưu trữ riêng tư trở thành công khai, tất cả các loại tác hại đều có thể xảy ra.

Tim Mackey, nhà chiến lược bảo mật chính của Trung tâm Nghiên cứu An ninh mạng Synopsys, lưu ý: “Điều quan trọng cần nhớ là các kho lưu trữ nguồn thường chứa nhiều thứ hơn là chỉ mã. “Bạn sẽ tìm thấy các trường hợp thử nghiệm, dữ liệu mẫu có thể có cùng với thông tin chi tiết về cách cấu hình phần mềm.”

Cũng có thể có thông tin cá nhân nhạy cảm và thông tin xác thực ẩn trong mã. Ví dụ: “đối với một số ứng dụng không bao giờ có ý định chuyển đến khách hàng, cấu hình mặc định có trong kho mã nguồn có thể chỉ là cấu hình đang chạy,” Mackey nói. Tin tặc có thể sử dụng dữ liệu cấu hình và xác thực bị đánh cắp để thực hiện các cuộc tấn công lớn hơn và tốt hơn nhằm vào nạn nhân bị rò rỉ.

Đó là lý do tại sao “các công ty nên áp dụng chiến lược quản lý bí mật an toàn hơn, kết hợp lưu trữ bí mật với phát hiện bí mật”, McDaniel của GitGuardian cho biết. “Các tổ chức cũng nên kiểm tra tình hình rò rỉ [các] bí mật hiện tại của mình để biết hệ thống nào gặp rủi ro nếu xảy ra rò rỉ mã và cần tập trung ưu tiên vào đâu.”

Nhưng trong trường hợp rò rỉ đến từ bên trong - như Twitter - thì cần phải thận trọng hơn nữa. Mackey cho biết, nó đòi hỏi phải lập mô hình và phân tích mối đe dọa kỹ lưỡng trong việc quản lý mã nguồn của doanh nghiệp.

Ông nói: “Điều này rất quan trọng vì nếu ai đó có thể gây ra rò rỉ mã nguồn thì họ cũng có thể có khả năng thay đổi mã nguồn”. “Nếu bạn không sử dụng xác thực đa yếu tố để truy cập, thực thi quyền truy cập hạn chế chỉ đối với những người dùng được phê duyệt, thực thi quyền truy cập và giám sát truy cập thì bạn có thể không có bức tranh đầy đủ về cách ai đó có thể khai thác các giả định mà nhóm phát triển của bạn đã đưa ra khi họ bảo đảm kho lưu trữ mã nguồn của họ.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/attacks-breaches/twitter-source-code-leak-github-potential-cyber-nightmare