هک شدن برخی سازمان‌های دولتی و شرکت‌های خصوصی در آمریکا

به گزارش کارگروه بین‌الملل سایبربان؛ پلیس فدرال آمریکا طی هشداری اعلام کرد هکرها با سوءاستفاده از تنظیمات نادرست اپلیکیشن های سونارکیوب (SonarQube) کد منبع‌های سازمان‌های دولتی و شرکت‌های خصوصی در آمریکا را به سرقت برده‌اند.

در اطلاعیه پلیس فدرال آمریکا که اخیراً در وب‌سایت این نهاد منتشر شد آمده:

این نفوذها دست‌کم از ماه آوریل سال 2020 صورت گرفته است.

این اطلاعیه به‌ویژه هشداری برای مالکان اپلیکیشن سونارکیوب است. سونارکیوب یک برنامه تحت وب است که نهادهای دولتی و خصوصی در مراحل تولید یک نرم‌افزار به کار می‌گیرند تا قبل از نهایی شدن کد منبع نرم‌افزار را امتحان کرده و نقص‌های امنیتی موجود در آن را بررسی می‌کنند.

اپلیکیشن های سونارکیوب روی سرورهای وب نصب می‌شوند و به سیستم‌های میزبانِ کد منبع نظیر حساب‌های BitBucket, GitHub, GitLab یا سیستم‌های Azure DevOps متصل می‌شوند.

بااین‌حال پلیس فدرال آمریکا می‌گوید برخی نهادها این سیستم‌ها را در حالت ناامن رها کرده و این سیستم‌ها با پیکربندی و اعتبارنامه پیش‌فرض در حال کار کردن هستند.

به گفته پلیس فدرال آمریکا، هکرها با سوءاستفاده از این تنظیمات نادرست به داده‌های موجود در اپلیکیشن های سونارکیوب دسترسی پیداکرده و از این طریق به انباری از کد منبع دست‌یافته، سپس اطلاعات برنامه‌های مهم و خصوصی نهادها و شرکت‌ها را به سرقت برده‌اند.

یک محقق امنیتی سوئیسی به نام تیل کاتمن (Till Kottmann) که ده‌ها کد منبع از شرکت‌های فن‌آوری را از یک پورتال عمومی جمع‌آوری کرده در این خصوص خاطرنشان کرد:

بیشتر کاربران سونارکیوب تنظیمات این اپلیکیشن را تغییر نمی‌دهند. من از تعداد فعلی نمونه‌های آسیب‌پذیر برنامه سونارکیوب مطلع نیستم؛ اما حدس می‌زنم بیش از 1 هزار سرور به دلیل عدم استفاده از فرآیند احراز هویت و استفاده از اعتبارنامه‌های پیش‌فرض در این اپلیکیشن، در معرض خطر قرار دارند.