محققان آسیب‌پذیری‌هایی را در سایت‌های عمومی پیدا می‌کنند که اطلاعات حساس را افشا می‌کنند

آنها بعداً کمپینی را کشف کردند که از نقص ها برای استخراج داده ها از "میلیون ها وب سایت" استفاده می کرد.

کلاهبرداران داده ها را در وب تاریک به "صدها یورو" می فروختند.

نمونه‌های ابری با پیکربندی نادرست بار دیگر برای سرقت اطلاعات حساس مانند اعتبارنامه‌های ورود، کلیدهای API و موارد دیگر مورد سوء استفاده قرار گرفته‌اند.

این بار، قربانیان بی شماری از مشتریان خدمات وب آمازون (AWS) بودند که به نظر نمی رسد مدل مسئولیت مشترک زیرساخت ابری را درک کنند.

در آگوست 2024، محققین مستقل امنیتی Noam Rotem و Ran Loncar آسیب‌پذیری‌هایی را در سایت‌های عمومی کشف کردند که می‌توانست برای دسترسی به داده‌های حساس مشتری، اعتبار زیرساخت‌ها و کد منبع اختصاصی مورد سوء استفاده قرار گیرد.

فروش اطلاعات در تلگرام

تحقیقات بیشتر نشان داد که عوامل تهدید فرانسوی زبان، که احتمالاً با گروه‌های هکر Nemesis و ShinyHunters مرتبط هستند، «میلیون‌ها وب‌سایت» را اسکن کرده و از آسیب‌پذیری‌ها برای استخراج داده‌های حساس استفاده می‌کنند.

اطلاعات به دست آمده از این راه شامل کلیدها و اسرار مشتری AWS، اعتبار پایگاه داده، اعتبارنامه Git و کد منبع، اعتبارنامه SMTP (برای ارسال ایمیل)، کلیدهای API برای سرویس‌هایی مانند Twilio، Binance و SendGrid، اعتبارنامه SSH، کلیدهای مرتبط با ارزهای دیجیتال و یادداشت‌ها بود. ، و سایر اطلاعات کاربری حساس دسترسی (به عنوان مثال، برای CPanel، حساب های Google ، و خدمات شخص ثالث). برخی از قربانیان به دلایل امنیتی آشکار شناسایی شدند، اما در گزارش نامی از آنها ذکر نشد.

پس از آن، اشرار آرشیوها را در یک کانال اختصاصی تلگرام می فروختند و «صدها یورو به ازای هر تخلف» به دست می آوردند. خوب، زیرا آنها احتمالاً پس از دستگیری و محاکمه به پول برای مشاور حقوقی نیاز خواهند داشت.

محققان گفتند: «تحقیقات ما اسامی و اطلاعات تماس برخی از افراد پشت این حادثه را شناسایی کرده است. "این ممکن است به اقدامات بیشتر علیه عاملان کمک کند."

Rotem و Loncar یافته های خود را ابتدا به اداره سایبری اسرائیل و سپس به امنیت AWS گزارش کردند. این دو "شروع به اقدامات فوری" برای کاهش خطر کردند، اگرچه AWS تاکید کرد که این آسیب‌پذیری در سیستم نیست، بلکه در نحوه استفاده مشتریان از آن است:

vpnMentor در گزارش خود گفت: "تیم امنیتی AWS تاکید کرد که این عملیات برای AWS نگرانی امنیتی ایجاد نمی کند، بلکه در سمت مشتری مدل مسئولیت مشترک است - بیانیه ای که ما کاملاً با آن موافقیم."

متخصصان امنیت سایبری دائماً در مورد پیکربندی نادرست ابری که یکی از دلایل اصلی نقض است هشدار می دهند. به اندازه کافی طعنه آمیز، به نظر نمی رسد هکرها به این هشدارها توجه کنند، زیرا محققان همه فایل های دزدیده شده را - در یک پایگاه داده محافظت نشده AWS پیدا کردند.

گفته شد: «داده‌های جمع‌آوری‌شده از قربانیان در یک سطل S3 ذخیره می‌شد که به دلیل پیکربندی نادرست صاحب آن باز مانده بود». سطل S3 به عنوان یک «درایو مشترک» بین اعضای گروه حمله بر اساس کد منبع ابزار استفاده شده توسط آنها استفاده می‌شد.»

در نهایت، AWS در 9 نوامبر گزارش داد که "مسئله را مدیریت کرده است".

شما هم ممکن است دوست داشته باشید