Únik dat MoneyForward přes GitHub odhalil zdrojový kód a 370 záznamů karet

Únik dat MoneyForward přes GitHub odhalil zdrojový kód a 370 záznamů karet

Japonská společnost v oblasti finančních technologií MoneyForward Inc. zveřejnila bezpečnostní incident zahrnující neoprávněný přístup k firemnímu účtu na GitHubu. Při útoku byl odcizen zdrojový kód a došlo k úniku 370 záznamů spojených se službou pro správu vizitek. Hlavní příčina: pevně zakódované přihlašovací údaje a produkční data, která byla omylem vložena do repozitářů.

Tento incident je učebnicovým příkladem předcházitelného úniku dat a přináší poučení jak pro softwarové vývojáře, tak pro běžné uživatele finančních služeb.

Co se stalo při incidentu MoneyForward na GitHubu

Neoprávněné osoby získaly přístup k firemnímu účtu MoneyForward na GitHubu. Po průniku dovnitř byly schopny exfiltrovat zdrojový kód z firemních repozitářů. Co je však závažnější – protože vývojáři pevně zakódovali citlivé přihlašovací údaje přímo do kódu a ukládali skutečná produkční data do repozitářů, útočníci také získali 370 záznamů spojených se službou vizitek MoneyForward.

Pevně zakódované přihlašovací údaje (hardcoded secrets) jsou hesla, API klíče, tokeny nebo jiné přístupové údaje zapsané přímo ve zdrojovém kódu namísto jejich bezpečného uložení v dedikovaném systému pro správu tajných dat. Jakmile jsou tyto repozitáře odhaleny, odcizeny jsou i přihlašovací údaje. Jde o dobře známé a široce dokumentované bezpečnostní riziko, které přesto patří k nejčastějším příčinám úniků dat v celém softwarovém odvětví.

Přítomnost produkčních dat ve vývojovém repozitáři tento problém výrazně prohlubuje. Vývojová a testovací prostředí jsou obecně udržována na nižší úrovni zabezpečení než produkční systémy. Míchání skutečných uživatelských dat do těchto prostředí dramaticky zvyšuje rozsah škod při jakémkoli kompromitování.

Proč jsou pevně zakódované přihlašovací údaje tak nebezpečné

Pro vývojáře je pokušení pevně zakódovat přihlašovací údaje často otázkou pohodlí. Přímé zapsání hesla k databázi do konfiguračního souboru věci rychle zprovozní. Problém je v tom, že repozitáře kódu – i ty soukromé – nejsou navrženy jako úložiště tajných dat. Přístupová práva se mění, účty jsou kompromitovány a repozitáře se někdy omylem stanou veřejnými.

Osvědčené postupy v oboru předepisují používání dedikovaných nástrojů pro správu tajných dat, které ukládají přihlašovací údaje odděleně od kódu, pravidelně je obměňují a auditují přístupy. Proměnné prostředí, systémy typu vault a nástroje pro skenování tajných dat, které označí přihlašovací údaje dříve, než se vůbec dostanou do repozitáře, jsou součástí vyspělého bezpečnostního přístupu.

Pokud jsou tyto postupy vynechány, jediný kompromitovaný účet může odhalit nejen samotný kód, ale i každý systém, se kterým byl kód navržen komunikovat.

Co to znamená pro vás

Pokud využíváte službu vizitek MoneyForward, vaše informace mohly být součástí odhalených 370 záznamů. I pokud nejste zákazníkem MoneyForward, tento incident je užitečnou připomínkou toho, jak se finanční a produktivní služby mohou stát vektory pro únik dat.

Zde je postup, který byste měli dodržet:

• Sledujte oznámení. MoneyForward by měl dotčené uživatele kontaktovat přímo. Pečlivě si přečtěte veškerou komunikaci od společnosti a řiďte se jejich pokyny.
• Sledujte své účty. Dávejte pozor na neobvyklou aktivitu na všech finančních účtech, zejména pokud jste službě vizitek MoneyForward sdělili platební nebo kontaktní údaje.
• Zvažte službu monitorování úvěru. Pokud došlo k úniku osobních nebo finančních dat, monitorování úvěru vás může včas upozornit na podezřelou aktivitu.
• Přezkoumejte, co sdílíte s fintech aplikacemi. Mnoho nástrojů finanční produktivity požaduje více dat, než skutečně potřebuje. Pravidelný audit toho, které služby drží vaše informace, snižuje vaši expozici.
• Používejte silná, jedinečná hesla a zapněte dvoufaktorové ověřování u všech finančních účtů, které máte. Pokud útočník získá přístup k jednomu účtu, chcete omezit, jak daleko se může dostat.

Pro vývojáře, kteří toto čtou, je poučení stejně přímé. Skenujte své repozitáře na pevně zakódované přihlašovací údaje pomocí automatizovaných nástrojů, z nichž mnohé jsou dostupné zdarma. Nikdy neukládejte produkční data ve vývojových nebo testovacích repozitářích. Zaveďte řešení pro správu tajných dat a zařaďte obměnu přihlašovacích údajů jako standardní součást svého pracovního postupu.

Vzorec, který stojí za pozornost

Incident MoneyForward na GitHubu není ojedinělou událostí. Kompromitované vývojářské účty a uniklé přihlašovací údaje ve zdrojovém kódu jsou opakujícím se tématem v bezpečnostních hlášeních zveřejňovaných každé čtvrtletí. Tento vzorec naznačuje, že mnoho organizací – i sofistikované technologické společnosti – stále bojuje s důsledným prosazováním bezpečných vývojových postupů.

Pro uživatele je to důvod k zdravé skepsi vůči jakékoli službě, která uchovává citlivá data – finanční nebo jiná. Omezování digitální stopy, důkladné sledování finančních účtů a sledování informací při zveřejňování úniků dat jsou praktické návyky, které se časem vyplatí.

Zveřejnění informací ze strany MoneyForward je krokem správným směrem. Transparentní hlášení o únicích dat umožňuje uživatelům jednat a činí společnosti zodpovědnými. Dalším krokem je, aby širší komunita softwarových vývojářů přistupovala ke správě tajných dat nikoli jako k volitelné osvědčené praxi, ale jako k základnímu požadavku.