Emuārs

“Atkļūdošanas režīms” populārajā tīmekļa izstrādātāja rīkā atklāj simtiem vietņu, tostarp Donalda Trampa vietņu, akreditācijas datus.

Simtiem vietņu, kas izveidotas, izmantojot populāru tīmekļa izstrādes rīku, ir atklājušas sensitīvus datus ikvienam, kam ir tīmekļa pārlūkprogramma. Tajos ietilpst Donalda Trampa oficiālā kampaņas vietne, kas potenciāli ļauj uzbrucējiem nolaupīt vietnes e-pasta serveri.

Rīks, PHP ietvars ar nosaukumu Laravel, ietver 'atkļūdošanas režīmu', kas ļauj izstrādātājiem identificēt kļūdas un nepareizas konfigurācijas.pirms tamtīmekļa vietnes sāk darboties. Problēma ir tā, ka daudziem izstrādātājiem neizdodas atspējot atkļūdošanas režīmupēctiek publicēta, atklājot aizmugursistēmas vietņu informāciju, piemēram, datu bāzes atrašanās vietas, paroles, slepenās atslēgas un citu sensitīvu informāciju.

Atkļūdošanas API Donaldam Trampam — Tika atklāta Donalda Trampa kampaņas vietnes atkļūdošanas API.VISI SENSITĪVIE DATI IZMANTOTI

Comparitech sadarbojās ar drošības pētniekiem Bobu Diačenko un Sebastjanu Kaulu, lai atklātu vietnes, kas ir padarītas neaizsargātas, izmantojot Laravel atkļūdošanas režīmu, un informētu īpašniekus par ekspozīciju, sākot no 11. oktobra. Viņi kopumā atrada 768 vietnes ar aktīvām Laravel sesijām, un viņš lēš, ka no 10 līdz 20 procentiem no tajos ir sensitīvas konfigurācijas. Lielākā daļa vietņu ir paredzētas labdarības organizācijām un mazajiem uzņēmumiem.

Trampa kampaņas tīmekļa vietnes apakšdomēnā bija pasta servera konfigurācija, kas tika atklāta vienkāršā tekstā, kas bija redzama no jebkuras tīmekļa pārlūkprogrammas, izmantojot Laravel atkļūdošanas saskarni. Mēs nevaram noteikt, kad ir iespējots atkļūdošanas režīms, tāpēc mēs nezinām, cik ilgi dati bija apdraudēti.

'Pat 24 stundas ir pietiekami bīstamas,' saka Diačenko. 'Teorētiski ikviens varētu izmantot šos akreditācijas datus, lai uzdoties par Trampa kampaņu un nosūtītu e-pastusemail.donaldtrum.com”.

Šādas iedarbības iespējamās sekas ir diezgan nopietnas; Galu galā Trampa kampaņas vietne tiek izmantota, lai lūgtu ziedojumus. Cita starpā uzbrucēji varēja pārtvert saraksti ar Trampa atbalstītājiem vai pikšķerēšanas kampaņas atbalstītājiem.

Lai būtu skaidrs, tas nav lietotāja datu pārkāpums; netika nopludināti lietotāja ieraksti. Tā vietā šī iedarbība sniedza hakeriem uzbrukuma vektoru, lai potenciāli varētu nolaupīt pasta serverus, izpētīt pirmkoda struktūru, atrast vājās vietas, atkārtoti izmantot paroles citās sistēmās un veikt cita veida uzbrukumus.

Vietnes DonaldJTrump.com komanda atbildēja 16. oktobrī un novērsa problēmu.

The FIB, Iekšzemes drošība un Nacionālās izlūkošanas direktora birojs koordinēt, lai mazinātu kiberietekmes operāciju risku, kas vērstas uz ASV vēlēšanām, un nodrošināt prezidenta vēlēšanu kampaņas ar aizsardzības instruktāžu.

Kas ir Laravels?

Laravel ir populārs atvērtā pirmkoda PHP ietvars, ko izmanto tīmekļa lietojumprogrammu izstrādei. Saskaņā ar BuiltAr , pašlaik to izmanto vairāk nekā 135 000 tiešsaistes vietņu.
Tāpat kā līdzīgās sistēmās, tajā ir iekļauts atkļūdošanas režīms ar interfeisu, kas ļauj izstrādātājiem identificēt kļūdas un nepareizu konfigurāciju vietnes tīklā. Šis atkļūdošanas režīms ir paredzēts lietošanai pirms vietnes aktivizēšanas, taču daudziem izstrādātājiem neizdevās to atspējot. Lai būtu skaidrs, šī ir vietnes administratora vai izstrādātāja kļūda, nevis Laravel kļūda.

Atkļūdošanas saskarnei var piekļūt no tīmekļa pārlūkprogrammas. Tajā bieži ir ietverta vienkārša teksta sensitīva informācija un API akreditācijas dati, piemēram, koplietotie noslēpumi, paroles un datu bāzes atrašanās vietas — informācija, ko hakeri var izmantot, lai nozagtu datus vai veiktu turpmākus uzbrukumus sistēmai.

Tā nav jauna problēma. Apmēram pirms gada Diačenko un viņa kolēģis Sebastjēns Kauls veica interneta mēroga meklēšanu, kurā tika atrastas 566 publiskas IP adreses ar iespējotu Laravel atkļūdošanas režīmu. Viņi informēja 22 uzņēmumus ar atklātiem akreditācijas datiem. Tas ietvēra Zviedrijas uzņēmumu PrestoDaycare, kas ražo digitālās klases tehnoloģijas un bērnu izsekošanas programmatūru.

Atklāta informācija, izmantojot atkļūdošanas API, ir izplatīta problēma vietnēs, kurās izmanto PHP ietvarus, neskatoties uz labi dokumentētiem riskiem, kas aptver divus gadu desmitus.

Kā un kāpēc mēs atklājām šo ekspozīciju

Comparitech drošības izpētes komanda skenē internetu, lai atrastu nepareizi konfigurētas vietnes un datubāzes, kas ir atstātas tīmeklī. Mēs darām visu iespējamo, lai brīdinātu atbildīgās organizācijas, lai līdz minimumam samazinātu kaitējumu galalietotājiem.

Bobs Diačenko vada mūsu centienus, izmantojot savas plašās zināšanas un pieredzi kiberdrošības jomā. Pēc tam komanda pēta, kādi dati tika atklāti, cik ilgi, kam tie pieder un kurš tiek ietekmēts.

Mēs ziņojam par rezultātiem, lai palielinātu upuru izpratni, lai viņi varētu veikt nepieciešamos pasākumus, lai sevi aizsargātu. Mūsu mērķis ir apturēt nesankcionētu piekļuvi personas informācijai un mazināt kaitējumu, ko var radīt šāda datu atklāšana un pārkāpumi.

Trampa kampaņas tīmekļa vietnes gadījumā mēs veicām vairākus mēģinājumus informēt kampaņu. Šeit ir norādīts laika grafiks mūsu centieniem sazināties:

11. oktobris — Diačenko sazinājās ar [email protected] un
[email protected]
14. oktobris — ir iesniegta DonaldJTrump.com saziņas veidlapa
14. okt. — nosūtīts pa e-pastu uz info@ e-pasta adresi
15. oktobris — e-pasts Brad Parscale (kampaņas vadītājs) — e-pasta adrese atrasta tiešsaistē
15. oktobris — nosūtīja pa e-pastu America First politikām (info@ e-pasta adrese), lai noskaidrotu, vai viņiem ir kādi kontakti, kas varētu palīdzēt
15. oktobris — atkal nosūtīts e-pasts uz [email protected] (norādīts privātuma politikā), taču šis e-pasts tika atgriezts
15. oktobris — ir iesniegta Parscale Digital kontaktforma. Breds Parskals ir digitālās aģentūras Giles-Parscale (tagad Parscale Digital) dibinātājs un liecina avoti viņš, iespējams, ir izveidojis vietni DonaldJTrump.com. Mēs saņēmām automātisku apstiprinājumu par mūsu iesniegumu.
16. oktobris — tika iesniegta NYPD policijas komisāra Džeimsa P. O’Nīla saziņas veidlapa. Veidlapa atrodas vietnē NYC.gov, un mēs saņēmām automātisku saņemšanas apstiprinājumu.
16. oktobris — atkārtoti iesniedza DonaldJTrump.com saziņas veidlapu
16. oktobris — nosūtīts e-pasts uz Parscale Digital, izmantojot info@ e-pasta adresi, kas atlēca
16. oktobris — sazinājās ar whois reģistrētāja e-pasta adresi vietnei DonaldJTrump.com
16. oktobris — sazinājās ar whois reģistrētāja e-pasta adresi parscaledigital.com
16. oktobris — sazinājās ar Bredu Parskalu, izmantojot LinkedIn
16. oktobris — sazinājās ar Meganu Pauersu (operāciju direktori), izmantojot LinkedIn
16. oktobris — sazinājās ar Dade Varsafsky (biroja vadītāju), izmantojot LinkedIn
16. oktobris — Trampa komanda laboja problēmu

Iepriekšējie ziņojumi par datu pārkāpumiem un iedarbību

700 000 klientu ierakstu lielākajiem viesnīcu franšīzes devējiem Choice Hotels
7 miljoni ierakstu no K-12 skolēniem
188 miljoni personas datu ierakstu no cilvēku meklēšanas vietnēm
300 000 ierakstu kas pieder kriptovalūtu biržai QuickBit
5 miljoni personīgo rekordu kas pieder MedicareSupplement.com

3D-Online

Informācija, Rīki, Pārskati Un Salīdzinājumi, Lai Palīdzētu Lasītājiem Uzlabot Kiberdrošību Un Konfidencialitāti Internetā.

“Atkļūdošanas režīms” populārajā tīmekļa izstrādātāja rīkā atklāj simtiem vietņu, tostarp Donalda Trampa vietņu, akreditācijas datus.

Kas ir Laravels?

Kā un kāpēc mēs atklājām šo ekspozīciju

Iepriekšējie ziņojumi par datu pārkāpumiem un iedarbību

Ieteicams

Populārākas Posts

Populārākas Kategorijas