Bir kaynaktan derlenen bilgilere göre, Twitter’ın özel kaynak kodlarından bazıları yaklaşık üç aydır Github’da halka açıktı. DMCA Yayından Kaldırma isteği 24 Mart’ta dosyalandı.
GitHub, dünyanın en büyük kod barındırma platformudur. Microsoft’a aittir ve birden fazla hizmet vermektedir. 100 milyon geliştirici ve içerir yaklaşık 400 depo tümünde.
24 Mart’ta GitHub, bir Twitter çalışanının “Twitter platformu ve dahili araçları için özel kaynak kodunu” kaldırma talebini yerine getirdi. Kod bir yayınlanmıştı “PublicSpace” adlı depo, ” kullanıcı adına sahip bir kişi tarafındanÜcretsiz Konuşma Meraklısı.” İsim, Elon Musk’a açık bir göndermedir. casus belli Ekim ayında Twitter’ı devraldığı için (o zamandan beri aylardır düzensiz bir şekilde uygulanan bir felsefe).
Sızan kod dört klasörde bulunuyordu. 24 Mart itibariyle erişilemez olsa da, “auth” ve “aws-dal-reg-svc” gibi bazı klasör adları, içerdikleri hakkında bazı ipuçları veriyor gibi görünüyor.
Ars Technica’ya göre FreeSpeechEnthusiast, 3 Ocak’ta Github’a katıldı ve sızan tüm kodu aynı gün işledi. Bu, toplamda, kodun yaklaşık üç ay boyunca tamamen halka açık olduğu anlamına gelir.
Kurumsal Kaynak Kodu Sızıntıları Nasıl Olur?
Büyük yazılım şirketleri milyonlarca satır kod üzerine kuruludur ve arada bir, şu ya da bu nedenle, bir kısmı sızabilir.
GitGuardian’ın geliştirici savunucusu Dwayne McDaniel, “Kötü aktörler elbette önemli bir rol oynuyor” diyor. “Geçen yıl Samsung ve Uber gibi Lapsus$ grubunu içeren davalarda gördük.”
Bilgisayar korsanları her zaman hikayenin bir parçası değildir. Twitter’ın durumunda, ikinci dereceden kanıtlar memnun olmayan bir çalışana işaret ediyor. Ve “Toyota’da gördüğümüz gibi, bir alt yüklenicinin özel bir kod tabanının bir kopyasını kamuya açık hale getirdiği gibi, bunun büyük bir kısmı kodun istemeden ait olmadığı yerde bitmesinden geliyor” diye ekliyor. “Git ve CI/CD ile çalışmanın karmaşıklığı, modern uygulamalar için giderek artan sayıda depoyla birleştiğinde, özel depolardaki kodun yanlışlıkla herkese açık hale gelebileceği anlamına gelir.”
İşletmeler İçin Kaynak Kod Sızıntıları Sorunu
Twitter ve onun gibi şirketler için kaynak kodu sızıntıları, siber güvenlik için telif hakkı ihlalinden çok daha büyük bir sorun olabilir. Özel bir depo halka açıldıktan sonra her türlü zarar gelebilir.
Synopsys Siber Güvenlik Araştırma Merkezi baş güvenlik stratejisti Tim Mackey, “Kaynak depolarının genellikle koddan daha fazlasını içerdiğini unutmamak önemlidir” diyor. “Yazılımın nasıl yapılandırılması gerektiğine ilişkin ayrıntılarla birlikte test senaryoları, potansiyel olarak örnek veriler bulacaksınız.”
Kodda gizli hassas kişisel bilgiler ve kimlik doğrulama bilgileri de olabilir. Örneğin, “Müşterilere hiçbir zaman gönderilmesi amaçlanmayan bazı uygulamalar için, kaynak kod havuzunda bulunan varsayılan yapılandırma yalnızca çalışan yapılandırma olabilir” diyor Mackey. Bilgisayar korsanları, bir sızıntının kurbanına karşı daha büyük ve daha iyi saldırılar gerçekleştirmek için çalınan kimlik doğrulama ve yapılandırma verilerini kullanabilir.
GitGuardian’dan McDaniel, bu nedenle “şirketler, sır depolamayı sır tespiti ile birleştirerek daha güvenli bir sır yönetimi stratejisi benimsemeli” diyor. “Kuruluşlar ayrıca mevcut sırlarını da denetlemelidir.[s] Bir kod sızıntısı meydana geldiğinde hangi sistemlerin risk altında olduğunu ve önceliklendirmede nereye odaklanılacağını bilmek için sızıntı durumu.”
Ancak sızıntının içeriden geldiği durumlarda – Twitter’da olduğu gibi – daha da dikkatli olunması gerekiyor. Mackey, bunun kapsamlı bir tehdit modellemesi ve bir kuruluşun kaynak kodu yönetiminin analizini gerektirdiğini söylüyor.
“Bu önemlidir, çünkü birisi bir kaynak kodu sızıntısını tetikleyebilirse, o zaman kaynak kodunu da değiştirme yeteneğine sahip olabilir” diyor. “Erişim için çok faktörlü kimlik doğrulaması kullanmıyorsanız, yalnızca onaylı kullanıcılara sınırlı erişimi zorunlu kılmıyorsanız, erişim haklarını zorunlu kılmıyorsanız ve erişim izleme kullanmıyorsanız, geliştirme ekiplerinizin yaptığı varsayımlardan birisinin nasıl yararlanabileceğini tam olarak göremeyebilirsiniz. kaynak kodu deposunu güvence altına aldı.”