Hacker könnten diesen fiesen Fehler nutzen, um Regierungswebsites zu entlarven

Eskere Guru

Laut Cybersicherheitsforschern von Defense.com waren aufgrund einer Schwachstelle im Open-Source-Entwicklungstool Git etwa 332.000 Websites böswilligen Akteuren ausgesetzt.

Wie von TechRadar berichtet, sind 2.500 dieser Websites mit .gov-Domains in verschiedenen Ländern verbunden, wodurch verschiedene Organisationen dem Risiko von Online-Angriffen und schändlicher Verwendung von Daten ausgesetzt sind.

Ein digitales verschlüsseltes Schloss mit Daten-Multilayern.
Digital verschlüsseltes Schloss mit mehrschichtigen Daten. Getty Images

Forscher behaupten, dass die Schwachstelle nicht so sehr auf ein Problem mit Git zurückzuführen ist, sondern darauf, dass Benutzer ihre Dateien nicht mit geeigneten Antivirenprotokollen schützen. Da es sich bei Open-Source-Tools um den grundlegendsten Code eines Programms handelt, können sie leicht manipuliert werden, wenn sie nicht geschützt werden. In diesem Fall können Hacker Zugriff auf Ordner erhalten und Daten von Regierungsbehörden herunterladen.

„Open-Source-Technologie hat immer das Potenzial für Sicherheitslücken, da sie in öffentlich zugänglichem Code verwurzelt ist. Dieses Sicherheitsniveau ist jedoch nicht akzeptabel“, sagte Oliver Pinson-Roxburgh, CEO von Defense.com, gegenüber TechRadar .

Er fügte hinzu, dass die britische Regierung zu den Organisationen gehöre, deren Domänen offengelegt seien, die „ihre Systeme überwachen und unverzüglich Maßnahmen ergreifen sollten, um Risiken zu beheben“.

Die Forscher von Defense.com erklärten weiter, dass eine einzelne Datei in einem Ordner die Daten eines vollständigen Codebasisverlaufs enthalten kann, einschließlich „früherer Codeänderungen, Kommentare, Sicherheitsschlüssel sowie vertraulicher Remote-Pfade, die Geheimnisse und Dateien mit Klartext-Passwörtern enthalten. ” Typischerweise sind Benutzer mit einem solchen Zugriff diejenigen mit Anmeldeinformationen, um Probleme zu beheben, anstatt sie auszunutzen. Bestimmte Ordner enthalten Anmeldeinformationen und API-Schlüssel, die unfreundlichen Benutzern Zugriff auf noch sensiblere Informationen verschaffen können.

Pinson-Roxburgh merkte an, dass einige Organisationen bestimmte Ordner für ihre eigenen spezifischen Zwecke geöffnet lassen könnten; Es gibt jedoch noch viele andere, die möglicherweise unwissentlich von einer Datenschutzverletzung bedroht sind.

Git bedient eine sehr beliebte Benutzerbasis von über 80 Millionen aktiven Benutzern. Es kann Unternehmen daran erinnern, das Antivirenprotokoll zu aktualisieren, insbesondere wenn es um Open-Source-Programme geht.

Kürzlich berichtete die Cybersecurity-Firma Buguard über die Marke Wiseasy, die im asiatisch-pazifischen Raum für ihr Android-basiertes Zahlungssystem bekannt ist. Der begleitende Wisecloud-Cloud-Dienst wurde gehackt, indem die Computerkennwörter von Mitarbeitern durch Malware gestohlen wurden und auf dem Dark-Web-Marktplatz landeten. Dies ermöglichte es böswilligen Spielern, die Datenbank der Marke zu infiltrieren und Zugang zu 140.000 Zahlungsterminals weltweit zu erhalten.

Insbesondere fehlten der beliebten Marke für Zahlungssysteme allgemein empfohlene Sicherheitsfunktionen wie die Zwei-Faktor-Authentifizierung . Android ist auch dafür bekannt, dass es im Kern Open Source ist.