خرق MoneyForward على GitHub يكشف الكود المصدري و370 سجلاً لبطاقات الأعمال
كشفت شركة MoneyForward Inc. اليابانية للتكنولوجيا المالية عن حادثة أمنية تتعلق بوصول غير مصرح به إلى حساب GitHub مؤسسي. أسفر الخرق عن سرقة الكود المصدري وكشف 370 سجلاً مرتبطاً بخدمة إدارة بطاقات الأعمال التابعة للشركة. والسبب الجذري لذلك: أسرار مضمّنة بشكل ثابت في الكود وبيانات إنتاج حقيقية جرى تحميلها عن طريق الخطأ إلى مستودعات الكود.
تُعدّ هذه الحادثة مثالاً كلاسيكياً على خرق كان يمكن تفاديه، وتحمل دروساً مهمة لكل من المطورين والمستخدمين العاديين للخدمات المالية.
ما الذي حدث في حادثة MoneyForward على GitHub
تمكّن أطراف غير مصرح لهم من الوصول إلى حساب GitHub مؤسسي تابع لـ MoneyForward. وبمجرد دخولهم، استطاعوا سحب الكود المصدري من مستودعات الشركة. والأخطر من ذلك، أنه بسبب قيام المطورين بتضمين بيانات اعتماد حساسة بشكل مباشر في الكود وتخزين بيانات إنتاج حقيقية في المستودعات، تمكّن المهاجمون أيضاً من الحصول على 370 سجلاً مرتبطاً بخدمة بطاقات الأعمال التابعة لـ MoneyForward.
تشير الأسرار المضمّنة بشكل ثابت إلى كلمات المرور ومفاتيح API والرموز المميزة وغيرها من بيانات الاعتماد التي تُكتب مباشرةً في الكود المصدري بدلاً من تخزينها في نظام مخصص وآمن لإدارة الأسرار. وعند كشف تلك المستودعات، تُكشف الأسرار معها. وهذا خطر أمني معروف وموثق على نطاق واسع، ومع ذلك لا يزال أحد أكثر أسباب خروقات البيانات شيوعاً في صناعة البرمجيات.
يُضاعف وجود بيانات الإنتاج في مستودع تطوير المشكلةَ بشكل كبير. إذ تخضع بيئات التطوير والاختبار عموماً لمعايير أمنية أدنى مقارنةً بأنظمة الإنتاج. ومزج بيانات المستخدمين الحقيقيين في تلك البيئات يوسّع نطاق الضرر المحتمل لأي اختراق توسيعاً كبيراً.
لماذا تُعدّ الأسرار المضمّنة بشكل ثابت في الكود خطيرة جداً
بالنسبة للمطورين، غالباً ما يأتي الإغراء لتضمين بيانات اعتماد بشكل ثابت من باب الراحة والسرعة. فكتابة كلمة مرور قاعدة البيانات مباشرةً في ملف إعداد يجعل الأمور تعمل بسرعة. المشكلة أن مستودعات الكود، حتى الخاصة منها، لم تُصمَّم لتكون مخازن للأسرار. تتغير ضوابط الوصول، وتتعرض الحسابات للاختراق، وقد تُجعل المستودعات عامة بالخطأ في بعض الأحيان.
تدعو أفضل ممارسات الصناعة إلى استخدام أدوات مخصصة لإدارة الأسرار تحفظ بيانات الاعتماد بمعزل عن الكود، وتجدّدها بانتظام، وتراقب الوصول إليها. وتُعدّ متغيرات البيئة وأنظمة الخزائن الآمنة وأدوات فحص الأسرار التي ترصد بيانات الاعتماد قبل وصولها إلى المستودع جزءاً أساسياً من منظومة أمنية ناضجة.
وحين يُتجاوَز تطبيق هذه الممارسات، قد يؤدي اختراق حساب واحد إلى كشف ليس الكود ذاته فحسب، بل كل نظام كان مصمَّماً للتواصل مع ذلك الكود.
ماذا يعني هذا بالنسبة لك
إذا كنت تستخدم خدمة بطاقات الأعمال من MoneyForward، فقد تكون معلوماتك ضمن الـ370 سجلاً المكشوفة. وحتى إن لم تكن عميلاً لـ MoneyForward، تُعدّ هذه الحادثة تذكيراً مفيداً بكيفية تحوّل الخدمات المالية وخدمات الإنتاجية إلى قنوات لكشف البيانات.
إليك ما يجب عليك فعله:
- تحقق من الإشعارات. يجب على MoneyForward التواصل مع المستخدمين المتأثرين مباشرةً. اقرأ أي مراسلات واردة من الشركة بعناية واتبع إرشاداتهم.
- راقب حساباتك. انتبه لأي نشاط غير معتاد على حساباتك المالية، خاصةً إذا كنت قد شاركت معلومات دفع أو بيانات اتصال مع خدمة بطاقات الأعمال التابعة لـ MoneyForward.
- فكّر في الاشتراك بخدمة مراقبة الائتمان. إذا تعرضت بياناتك الشخصية أو المالية للكشف، يمكن لخدمات مراقبة الائتمان تنبيهك مبكراً لأي نشاط مشبوه.
- راجع ما تشاركه مع تطبيقات التكنولوجيا المالية. تطلب كثير من أدوات الإنتاجية المالية بيانات أكثر مما تحتاجه فعلاً. إجراء مراجعة دورية للخدمات التي تحتفظ بمعلوماتك يقلّل من مخاطر تعرضك للاختراق.
- استخدم كلمات مرور قوية وفريدة وفعّل المصادقة الثنائية على أي حسابات خدمات مالية تمتلكها. فإذا تمكّن مهاجم من الوصول إلى حساب واحد، فأنت تريد تقييد مدى انتشاره.
بالنسبة للمطورين الذين يقرؤون هذا المقال، فالرسالة لا تقل وضوحاً. افحص مستودعاتك بحثاً عن بيانات اعتماد مضمّنة بشكل ثابت باستخدام أدوات آلية، كثير منها متاح مجاناً. لا تخزّن أبداً بيانات الإنتاج في مستودعات التطوير أو الاختبار. اعتمد حلاً لإدارة الأسرار واجعل تجديد الأسرار جزءاً أساسياً من سير عملك.
نمط يستحق الانتباه
لا يُعدّ خرق MoneyForward على GitHub حادثة معزولة. فاختراق حسابات المطورين وتسريب بيانات الاعتماد في الكود المصدري موضوع متكرر في تقارير الحوادث الأمنية الصادرة كل ربع سنة. يُشير هذا النمط إلى أن كثيراً من المؤسسات، حتى شركات التكنولوجيا المتطورة، لا تزال تعاني في تطبيق ممارسات التطوير الآمن باستمرار.
بالنسبة للمستخدمين، هذا سبب للحفاظ على قدر صحي من الشك تجاه أي خدمة تحتفظ ببيانات حساسة، سواء أكانت مالية أم غيرها. إن تقليص بصمتك الرقمية، ومراقبة حساباتك المالية عن كثب، والبقاء على اطلاع حين تُفصح الشركات عن الخروقات، عادات عملية تؤتي ثمارها على المدى البعيد.
يُعدّ إفصاح MoneyForward خطوة في الاتجاه الصحيح. فالإبلاغ الشفاف عن الخروقات يتيح للمستخدمين اتخاذ الإجراءات اللازمة ويُحاسب الشركات. الخطوة التالية هي أن يتعامل مجتمع تطوير البرمجيات الأوسع مع إدارة الأسرار لا بوصفها ممارسة جيدة اختيارية، بل بوصفها متطلباً أساسياً.
