Vilken typ av data exponerades i MoneyForwards GitHub-intrång?

Intrånget exponerade källkod från företagets databaser samt 370 poster kopplade till MoneyForwards visitkortshanteringstjänst.

Hur fick angriparna tillgång till känslig data utöver enbart källkoden?

Utvecklare hade hårdkodat känsliga autentiseringsuppgifter direkt i koden och lagrat riktig produktionsdata i databaserna, vilket innebar att angriparna även kunde komma åt dessa när de väl var inne i GitHub-kontot.

Vad är hårdkodade hemligheter och varför utgör de en säkerhetsrisk?

Hårdkodade hemligheter är lösenord, API-nycklar, tokens eller andra autentiseringsuppgifter som skrivs direkt in i källkoden i stället för att lagras i ett säkert system för hemlighetshantering. När en databas exponeras exponeras dessa autentiseringsuppgifter tillsammans med den.

Vilka säkerhetsrutiner kunde ha förhindrat detta intrång?

Branschens bästa praxis rekommenderar användning av dedikerade verktyg för hemlighetshantering, miljövariabler, valvsystem och verktyg för hemlighetsskanning som flaggar autentiseringsuppgifter innan de når en databas.

Varför är det särskilt riskabelt att lagra produktionsdata i utvecklingsdatabaser?

Utvecklings- och testmiljöer hålls generellt sett till lägre säkerhetsstandarder än produktionssystem, vilket innebär att inblandning av riktiga användardata i dessa miljöer avsevärt ökar den potentiella skadan vid varje form av intrång.

MoneyForwards GitHub-intrång exponerar källkod och 370 kortposter

Det japanska finansteknologiföretaget MoneyForward Inc. har avslöjat en säkerhetsincident som involverar obehörig åtkomst till ett företags GitHub-konto. Intrånget resulterade i stöld av källkod och exponering av 370 poster kopplade till företagets visitkortshanteringstjänst. Grundorsaken: hårdkodade hemligheter och produktionsdata som av misstag checkades in i koddatabaser.

Den här incidenten är ett läroboksexempel på ett förebyggbart intrång, och den innehåller lärdomar för både mjukvaruutvecklare och vanliga användare av finansiella tjänster.

Vad som hände i MoneyForwards GitHub-incident

Obehöriga parter fick tillgång till ett GitHub-konto tillhörande MoneyForward. Väl inne kunde de exfiltrera källkod från företagets databaser. Ännu allvarligare är att eftersom utvecklare hade hårdkodat känsliga autentiseringsuppgifter direkt i koden och lagrat riktig produktionsdata i databaserna, erhöll angriparna även 370 poster kopplade till MoneyForwards visitkortstjänst.

Hårdkodade hemligheter syftar på lösenord, API-nycklar, tokens eller andra autentiseringsuppgifter som skrivs direkt in i källkoden i stället för att lagras i ett säkert, dedikerat system för hemlighetshantering. När dessa databaser exponeras följer hemligheterna med. Detta är en välkänd och väldokumenterad säkerhetsrisk, men det fortsätter att vara en av de vanligaste orsakerna till dataintrång inom mjukvarubranschen.

Förekomsten av produktionsdata i en utvecklingsdatabas förvärrar problemet avsevärt. Utvecklings- och testmiljöer hålls generellt sett till lägre säkerhetsstandarder än produktionssystem. Att blanda in riktiga användardata i dessa miljöer ökar dramatiskt skadeomfånget vid varje form av intrång.

Varför hårdkodade hemligheter är så farliga

För utvecklare handlar frestelsen att hårdkoda en autentiseringsuppgift ofta om bekvämlighet. Att skriva ett databaslösenord direkt i en konfigurationsfil får saker att fungera snabbt. Problemet är att koddatabaser, även privata sådana, inte är utformade för att fungera som hemlighetslager. Åtkomstkontroller förändras, konton komprometteras och databaser görs ibland av misstag publika.

Branschens bästa praxis kräver dedikerade verktyg för hemlighetshantering som lagrar autentiseringsuppgifter separat från koden, roterar dem regelbundet och granskar åtkomsten. Miljövariabler, valvsystem och verktyg för hemlighetsskanning som flaggar autentiseringsuppgifter innan de når en databas är alla delar av en mogen säkerhetsstrategi.

När dessa rutiner hoppas över kan ett enda komprometterat konto exponera inte bara koden i sig, utan varje system som koden var utformad att kommunicera med.

Vad detta innebär för dig

Om du använder MoneyForwards visitkortstjänst kan din information ha funnits bland de 370 exponerade posterna. Även om du inte är kund hos MoneyForward är den här incidenten en användbar påminnelse om hur finansiella tjänster och produktivitetstjänster kan bli vektorer för dataexponering.

Här är vad du bör göra:

Kontrollera om du fått meddelanden. MoneyForward bör kontakta berörda användare direkt. Läs noggrant igenom all kommunikation från företaget och följ deras vägledning.
Bevaka dina konton. Håll utkik efter ovanlig aktivitet på eventuella finansiella konton, särskilt om du delat betalnings- eller kontaktinformation med MoneyForwards visitkortstjänst.
Överväg en kreditövervakningstjänst. Om personliga eller finansiella uppgifter exponerades kan kreditövervakning varna dig för misstänkt aktivitet i ett tidigt skede.
Se över vad du delar med fintech-appar. Många finansiella produktivitetsverktyg begär mer data än de strikt behöver. Att regelbundet granska vilka tjänster som innehar din information minskar din exponering.
Använd starka, unika lösenord och aktivera tvåfaktorsautentisering på alla finansiella tjänstekonton du innehar. Om en angripare får tillgång till ett konto vill du begränsa hur långt de kan röra sig.

För utvecklare som läser detta är slutsatsen lika tydlig. Skanna dina databaser efter hårdkodade autentiseringsuppgifter med automatiserade verktyg – många av dem är tillgängliga gratis. Lagra aldrig produktionsdata i utvecklings- eller testdatabaser. Inför en lösning för hemlighetshantering och gör rotering av hemligheter till en standarddel av ditt arbetsflöde.

Ett mönster värt att uppmärksamma

MoneyForwards GitHub-intrång är inte en isolerad händelse. Komprometterade utvecklarkonton och läckta autentiseringsuppgifter i källkod är ett återkommande tema i de säkerhetsincidentrapporter som publiceras varje kvartal. Mönstret antyder att många organisationer, även sofistikerade teknikföretag, fortfarande kämpar med att konsekvent upprätthålla säkra utvecklingsrutiner.

För användare är detta en anledning att upprätthålla en sund skepsis mot alla tjänster som innehar känsliga uppgifter, finansiella eller annat. Att minska ditt digitala fotavtryck, hålla ett vakande öga på dina finansiella konton och hålla dig informerad när företag avslöjar intrång är praktiska vanor som lönar sig med tiden.

MoneyForwards avslöjande är ett steg i rätt riktning. Transparent rapportering av intrång gör det möjligt för användare att vidta åtgärder och håller företag ansvariga. Nästa steg är att den bredare mjukvaruutvecklingsgemenskapen ska behandla hemlighetshantering inte som en valfri god praxis, utan som ett grundläggande krav.