6 Ekim günü saat 22:30 PST’de Twitch, kurumsal blogunda şu açıklamayı yayınladı: “Bir Twitch sunucusu yapılandırma değişikliğindeki bir hata nedeniyle bazı verilerin internete maruz kaldığını ve daha sonra kötü niyetli bir kişi tarafından erişildiğini öğrendik. üçüncü şahıs.”
Ardından, 15 Ekim’de Twitch, sızıntıyla ilgili daha fazla ayrıntıyı ortaya koyan ve “açığa çıkan verilerin öncelikle Twitch’in kaynak kodu deposundaki belgeleri ve ayrıca içerik oluşturucu ödeme verilerinin bir alt kümesini içerdiğini” doğrulayan açıklamasının güncellenmiş bir sürümünü yayınladı. GitGuardian, sızdırılmış 6.000 git deposunu sırlar ve hassas veriler açısından inceledi ve dikkatlerin çoğu sızdırılmış içerik oluşturucuların gelirleri üzerindeyken, sonuçlar bu ihlalin ötesine geçen çok daha ciddi bir sorunu gösteriyor.
Bu sızıntı uzun bir listeye eklenebilir: 2012’de Symantec, 2013’te Adobe, 2017’de Microsoft, 2018’de Apple ve Snapchat, 2019’da Samsung ve onlarca kurumsal şirket tek bir yerde. yüksek profilli operasyon 2020’de İsviçreli bir bilgisayar korsanı tarafından idam edildi. Siber güvenlik dünyasında bu tür korku hikayelerini duymadan veya okumadan bir yıl geçmiyor. Ancak kaynak kodunu bilgisayar korsanları için bu kadar çekici bir hedef yapan nedir?
Kaynak Kod, Kod Satırlarından Daha Fazlası mı?
Kaynak kodu, diğerleri gibi kurumsal bir varlıktır. Tasarlamak, yazmak, test etmek, yayınlamak, düzeltmek ve geliştirmek binlerce saat sürer. Twitch gibi teknoloji sektöründeki şirketler, kaynak kodunu dijital platformlarının içindekileri ve ürettikleri ve sundukları ürünleri tanımlayan bir plan olarak görüyor. Kod, iş fırsatlarının ve değer yaratmanın kaynağında, bu tür şirketler için tartışmasız en değerli varlıklardan biridir.
Bununla birlikte, fiziksel malların herhangi bir teknik veya mühendislik çizimi gibi bir plan, detaylandırdığı aynı malları yeniden üretmek için yeterli değildir. Birçok siber güvenlik analisti için aynı mantık, kaynak kodu sızıntıları için de geçerlidir. Teknik açıdan bakıldığında, bu sızıntıları iş sürekliliğini tehdit eden dramatik olaylar olarak görmüyorlar. Saldırganların başka teknoloji parçalarına ve daha da önemlisi onu kullanacak insanlara ve yeteneğe sahip olmadıkça, kaynak kodun çoğunun gerçek bir değeri veya kullanımı olmadığı kabul edilir. Ayrıca, çalınan kaynak kodu, orijinal bakıcılarının desteği ve iyileştirmesi olmadan hızla değer kaybeder.
Bu, kuruluşların kaynak kodlarını güvence altına almayı ve katı iç güvenlik ve erişim yönetimi politikalarını uygulamaktan vazgeçmeleri için hiçbir bahane olamaz. Kaynak kodu, izleyicilerinin uygulamaları oluşturmaya giden teknolojileri ve mantığı anlamalarına olanak tanıyan önemli bir fikri mülkiyet parçası olmaya devam ediyor. Daha derin hasar vermek isteyen bilgisayar korsanları için kaynak kodu ayrıca daha fazla istismar edilebilecek mantık kusurlarını ve güvenlik açıklarını da ortaya çıkarır. Ayrıca, genellikle bir kuruluşun BT sistemlerinin tümüne veya bölümlerine kolay erişim sağlayan sırlar ve kimlik bilgileri içerir.
Daha Büyük Sorun: Kaynak Kodundaki Sırlar
Yazılım geliştirme bağlamında sırları tartışırken, terim, sistemlere veya verilere erişim sağlayan dijital kimlik doğrulama kimlik bilgilerini ifade eder.
Sırlar, çalışmak için yüzlerce bağımsız yapı taşına dayanan Web uygulamaları bağlamında bulunur. Sırlar, her bileşen arasında güvenli bir bağlantı oluşturarak bu farklı yapı taşlarını birbirine bağlar.
Twitch kaynak kodu sızıntısı, sırların ele alınmasında önemli eksiklikleri ortaya çıkardı. Geliştiriciler ve uygulamalar tarafından düzenli olarak kullanılan kimlik bilgileri ve hassas veriler, 6.000 Git deposunun çoğunda düz metin olarak depolandı ve uygulama güvenliği en iyi uygulamaları ve standartları ihmal edildi.
Bunun olabileceği en kötü şey nedir?
Medyadaki ana anlatı, bunun bir güvenlik riski oluşturmadığı ve önemli hiçbir müşteri verisinin sızdırılmadığıdır. Bununla birlikte, kaynak kodundaki sırların varlığı buna meydan okuyor ve hiçbir müşteri bilgisi doğrudan ihlalde tehlikeye atılmamış olsa da, açığa çıkan çok sayıda sır, bu sızıntıyla ilgili Twitch tarafından ele alınması gereken güvenlik endişeleri olduğunu gösteriyor.
Yaklaşık 6.000 depodan 1.100’den fazlasında gizli bir aday gibi görünen en az bir olay görüldü. AWS veya Google tarafından sağlanan bulut hizmetlerinden Twilio veya Vonage Nexmo gibi mesajlaşma API’lerine kadar çeşitli sır türleri bulundu. Tam veritabanı bağlantı dizeleri ve GitHub OAuth anahtarları da araştırmamızın önemli bulguları arasındaydı.
Sırlar bu şekilde ifşa edildiğinde, şirketin “saldırı yüzeyi” olarak adlandırılan durum daha da uzar. Bu, yetkisiz bir kullanıcının dahili sistemlere veya verilere erişebileceği noktaların sayısıdır. Twitch örneğinde, şirketin tanımladığı gibi “yetkisiz bir üçüncü tarafın uygunsuz erişimine izin veren bir sunucu yapılandırma değişikliği” olarak başlayan şey, açıkta kalan kimlik bilgileri kullanılarak binlerce olmasa da yüzlerce yeni ve güvenli olmayan giriş noktasına dönüşebilir.
Sırları Sızdırmak Önlenebilir
Sırların büyük ve istenmeyen dağılımına genellikle “gizli yayılma” denir. Gerçek şu ki, insan hatası ve disiplin eksikliği nedeniyle bunu tamamen önlemek son derece zordur. Yalnızca 2020’de, halka açık GitHub üzerinde yapılan araştırma, kod paylaşım platformunda açığa çıkan 2 milyondan fazla sır buldu.
Ancak bu, kuruluşların çaresiz olduğu anlamına gelmez. Yazılım mühendisliği ekiplerinin uygulamalarının ve geliştirme araçlarının dönüştürülmesine yönelik titiz bir yaklaşım, sonuçta kod içindeki sırların önlenmesine yol açabilir. Bu yolculuğa doğru ilk adım, tüm kod katkıda bulunanların risklerin ve sonuçların farkında olduğundan emin olarak geliştirici eğitimi ile başlar. Bu zorluk karşısında daha iyi ekipman da memnuniyetle karşılanmaktadır. Güvenli gizli depolama ve kullanım için kasalar gibi araçlar, gemideki herkes tarafından takip edilecek net bir talimat seti sağlar. Buna ek olarak, kuruluşlar, ilke kesintileri durumunda gerçek zamanlı uyarıları tetikleyerek, hataya karşı güvenli bir çözüm için koddaki gizli dizileri algılamayı otomatikleştirmeye çalışabilirler.
Güvenlik uygulamalarını ilk tasarımdan uygulamaya kadar yazılım geliştirme yaşam döngülerine yerleştiren bütünsel yaklaşımlar, bu tür kaynak kodu sızıntıları meydana geldiğinde ve meydana geldiğinde hasarı kontrol altına almak için en güvenli bahistir.