Пробивът в GitHub на MoneyForward разкрива изходен код и 370 записа за карти

Пробивът в GitHub на MoneyForward разкрива изходен код и 370 записа за карти

Японската компания за финансови технологии MoneyForward Inc. разкри инцидент със сигурността, свързан с неоторизиран достъп до корпоративен акаунт в GitHub. При пробива бяха откраднати изходен код и разкрити 370 записа, свързани с услугата на компанията за управление на визитки. Основната причина: хардкодирани тайни и производствени данни, случайно добавени в хранилищата с код.

Този инцидент е класически пример за предотвратим пробив и носи поуки както за разработчиците на софтуер, така и за обикновените потребители на финансови услуги.

Какво се случи при инцидента с GitHub на MoneyForward

Неоторизирани лица получиха достъп до корпоративен акаунт в GitHub на MoneyForward. Веднъж вътре, те успяха да извлекат изходен код от хранилищата на компанията. По-критично е, че тъй като разработчиците бяха хардкодирали чувствителни идентификационни данни директно в кода и съхранявали реални производствени данни в хранилищата, нападателите получиха и 370 записа, свързани с услугата на MoneyForward за визитки.

Хардкодираните тайни са пароли, API ключове, токени или други идентификационни данни, записани директно в изходния код, вместо да се съхраняват в сигурна, специализирана система за управление на тайни. Когато тези хранилища бъдат разкрити, тайните се разкриват заедно с тях. Това е добре познат и широко документиран риск за сигурността, но въпреки това продължава да бъде една от най-честите причини за пробиви на данни в цялата софтуерна индустрия.

Наличието на производствени данни в хранилище за разработка значително усложнява проблема. Средите за разработка и тестване обикновено се придържат към по-ниски стандарти за сигурност в сравнение с производствените системи. Смесването на реални потребителски данни в тези среди драматично увеличава мащаба на щетите при евентуален компромис.

Защо хардкодираните тайни са толкова опасни

За разработчиците изкушението да хардкодират идентификационни данни често е въпрос на удобство. Написването на парола за база данни директно в конфигурационен файл кара нещата да работят бързо. Проблемът е, че хранилищата с код, дори частните, не са проектирани да бъдат хранилища за тайни. Контролите за достъп се променят, акаунтите биват компрометирани, а хранилищата понякога случайно стават публични.

Добрите практики в индустрията изискват специализирани инструменти за управление на тайни, които съхраняват идентификационните данни отделно от кода, редовно ги подновяват и проследяват достъпа до тях. Променливите на средата, системите тип „vault" и инструментите за сканиране на тайни, които маркират идентификационни данни преди да достигнат хранилището, са всички части на зряла позиция по отношение на сигурността.

Когато тези практики се пренебрегват, един единствен компрометиран акаунт може да разкрие не само самия код, но и всяка система, с която кодът е предназначен да комуникира.

Какво означава това за вас

Ако използвате услугата на MoneyForward за визитки, вашата информация може да е сред 370-те разкрити записа. Дори да не сте клиент на MoneyForward, този инцидент е полезно напомняне за това как финансовите и продуктивните услуги могат да се превърнат в канали за разкриване на данни.

Ето какво трябва да направите:

• Проверете за известия. MoneyForward трябва да се свърже директно с засегнатите потребители. Прочетете внимателно всякакви съобщения от компанията и следвайте указанията им.
• Наблюдавайте акаунтите си. Следете за необичайна активност по всякакви финансови сметки, особено ако сте споделили платежна или информация за контакт с услугата на MoneyForward за визитки.
• Обмислете услуга за кредитен мониторинг. Ако са разкрити лични или финансови данни, кредитният мониторинг може да ви предупреди рано за подозрителна активност.
• Прегледайте какво споделяте с финтек приложения. Много инструменти за финансова продуктивност искат повече данни, отколкото реално им трябват. Периодичният преглед на това кои услуги притежават вашата информация намалява излагането ви на риск.
• Използвайте силни, уникални пароли и активирайте двуфакторна автентикация за всякакви финансови акаунти, които притежавате. Ако нападател получи достъп до един акаунт, искате да ограничите докъде може да стигне.

За разработчиците, четящи това, поуката е също толкова ясна. Сканирайте хранилищата си за хардкодирани идентификационни данни с автоматизирани инструменти, много от които са достъпни безплатно. Никога не съхранявайте производствени данни в хранилища за разработка или тестване. Приемете решение за управление на тайни и направете ротацията на тайните стандартна част от работния си процес.

Модел, заслужаващ внимание

Пробивът в GitHub на MoneyForward не е изолирано събитие. Компрометираните акаунти на разработчици и изтеклите идентификационни данни в изходен код са повтаряща се тема в докладите за инциденти със сигурността, публикувани всяко тримесечие. Моделът предполага, че много организации, дори и сложни технологични компании, все още се затрудняват да прилагат последователно сигурни практики за разработка.

За потребителите това е причина да поддържат здравословен скептицизъм към всяка услуга, съхраняваща чувствителни данни — финансови или не. Намаляването на дигиталния ви отпечатък, внимателното наблюдение на финансовите ви сметки и информираността при разкриване на пробиви от компании са практически навици, които носят дивиденти с течение на времето.

Разкриването от страна на MoneyForward е стъпка в правилната посока. Прозрачното докладване на пробиви позволява на потребителите да предприемат действия и държи компаниите отговорни. Следващата стъпка е по-широката общност за разработка на софтуер да третира управлението на тайни не като незадължителна добра практика, а като основно изискване.