تم ترك الآلاف من أسرار الشركات مكشوفة. هذا الرجل وجدهم جميعا
إذا كنت تعرف أين تبحث، فيمكن العثور على الكثير من الأسرار عبر الإنترنت. منذ خريف عام 2021، يعمل الباحث الأمني المستقل بيل ديميركابي على بناء طرق للاستفادة من مصادر البيانات الضخمة، والتي غالبًا ما يتجاهلها الباحثون، للعثور على كميات كبيرة من المشكلات الأمنية. يتضمن ذلك العثور تلقائيًا على أسرار المطورين، مثل كلمات المرور ومفاتيح واجهة برمجة التطبيقات ورموز المصادقة المميزة، والتي يمكن أن تمنح مجرمي الإنترنت إمكانية الوصول إلى أنظمة الشركة والقدرة على سرقة البيانات.
اليوم، في مؤتمر Defcon الأمني في لاس فيغاس، يكشف Demirkapi عن نتائج هذا العمل، مع تقديم تفاصيل كنز هائل من الأسرار المسربة ونقاط الضعف الأوسع في موقع الويب. من بين ما لا يقل عن 15000 سر من أسرار المطورين المشفرة في البرامج، وجد مئات من تفاصيل اسم المستخدم وكلمة المرور المرتبطة بالمحكمة العليا في نبراسكا وأنظمة تكنولوجيا المعلومات الخاصة بها. التفاصيل اللازمة للوصول إلى قنوات Slack بجامعة ستانفورد؛ وأكثر من ألف مفتاح API خاص بعملاء OpenAI.
يتم إحصاء إحدى الشركات المصنعة الكبرى للهواتف الذكية، وعملاء إحدى شركات التكنولوجيا المالية، وشركة الأمن السيبراني بمليارات الدولارات، من بين آلاف المنظمات التي كشفت عن الأسرار عن غير قصد. وكجزء من جهوده لوقف هذا المد، اخترق Demirkapi معًا طريقة لإلغاء التفاصيل تلقائيًا، مما يجعلها عديمة الفائدة لأي قراصنة.
وفي الجزء الثاني من البحث، قام Demirkapi أيضًا بمسح مصادر البيانات للعثور على 66000 موقع ويب به مشكلات متدلية في النطاق الفرعي، مما يجعلها عرضة لهجمات مختلفة بما في ذلك الاختطاف. وكانت بعض أكبر مواقع الويب في العالم، بما في ذلك مجال التطوير المملوك لصحيفة نيويورك تايمز، تعاني من نقاط الضعف.
في حين أن القضيتين الأمنيتين اللتين بحث فيهما معروفتان جيدًا بين الباحثين، يقول ديميركابي إن التحول إلى مجموعات البيانات غير التقليدية، والتي عادة ما تكون مخصصة لأغراض أخرى، سمح بتحديد آلاف المشكلات بشكل جماعي، وإذا تم توسيعها، فإنه يوفر إمكانية المساعدة حماية الويب بشكل عام. يقول ديميركابي لمجلة WIRED: “كان الهدف هو إيجاد طرق لاكتشاف فئات الضعف التافهة على نطاق واسع”. “أعتقد أن هناك فجوة في الحلول الإبداعية.”
الأسرار المسكوبة؛ المواقع الضعيفة
من السهل نسبيًا أن يقوم المطور بتضمين أسرار شركته عن طريق الخطأ في البرامج أو التعليمات البرمجية. يقول ألون شيندل، نائب رئيس الذكاء الاصطناعي وأبحاث التهديدات في شركة Wiz للأمن السحابي، إن هناك مجموعة كبيرة ومتنوعة من الأسرار التي يمكن للمطورين تشفيرها أو كشفها عن غير قصد عبر مسار تطوير البرمجيات. يمكن أن تشمل هذه كلمات المرور، ومفاتيح التشفير، ورموز الوصول إلى واجهة برمجة التطبيقات (API)، وأسرار موفر السحابة، وشهادات TLS.
يقول شيندل: “إن الخطر الأكثر حدة المتمثل في ترك الأسرار مشفرة هو أنه إذا تم الكشف عن بيانات اعتماد وأسرار المصادقة الرقمية، فيمكنهم منح الخصوم وصولاً غير مصرح به إلى قواعد الأكواد وقواعد البيانات الخاصة بالشركة وغيرها من البنية التحتية الرقمية الحساسة”.
ويضيف شيندل أن المخاطر كبيرة: فالأسرار المكشوفة يمكن أن تؤدي إلى اختراق البيانات، واقتحام المتسللين للشبكات، وشن هجمات على سلسلة التوريد. وجدت الأبحاث السابقة في عام 2019 أن آلاف الأسرار يتم تسريبها على GitHub كل يوم. وعلى الرغم من وجود أدوات مسح سرية مختلفة، إلا أنها تركز إلى حد كبير على أهداف محددة وليس على شبكة الإنترنت الأوسع، كما يقول ديميركابي.
أثناء بحثه، كان ديميركابي، الذي برز لأول مرة بسبب مآثره في اختراق المدارس في سن المراهقة قبل خمس سنوات، يبحث عن هذه المفاتيح السرية على نطاق واسع، بدلاً من اختيار شركة والبحث عن أسرارها على وجه التحديد. وللقيام بذلك، لجأ إلى موقع VirusTotal، وهو موقع الويب المملوك لشركة Google، والذي يسمح للمطورين بتحميل الملفات – مثل التطبيقات – وفحصها بحثًا عن البرامج الضارة المحتملة.