גוף חקר האבטחה של חברת אקווה סקיוריטי גילה לאחרונה 250 מיליון אובייקטים ו-65.6 אלף תמונות קונטיינרים שדלפו באמצעות אלפי תמונות קונטיינרים באופן שגוי. רבים מהתכנים הללו הכילו קוד סודי ומידע רגיש שחשף אלפי חברות, בהן חמש חברות ברשימת Fortune 500.

מאגרי האחסון שדלפו הם כלים חיוניים בשרשרת אספקת התוכנה ולכן הם גם מטרה מרכזית עבור האקרים. למרות זאת, חברות רבות חושפות את התכנים מחוץ לחברה, אך הן לא מודעות לכך שעלול לדלוף כך מידע רגיש. אחת הסיבות לדליפות שהתגלו על ידי אקווה היא שארגונים לא אבטחו כראוי את הסביבות הקריטיות.

בין התגליות של גוף החקר נמצאו מפתחות רגישים שכוללים סודות ומידע אישי, 57 מאגרים של קונטיינרים עם בעיות קריטיות בהגדרות, יותר מאלפיים מאגרי רכיבי תוכנה שעלולים לאפשר לתוקף להדביק מאגר עם קוד זדוני ועוד. יתרה מכך, נחשף כי לחלק מהחברות לא היו תוכניות דיווח אחראי - כלי הכרחי שמאפשר לגלות ליקויי אבטחה. 

אסף מורג, חוקר איומים בכיר ב-Aqua Nautilus מסר: "התחלנו את המחקר שלנו במטרה להבין טוב יותר את התצורות השגויות במאגרים המשמשים לבניית קונטיינרים, את החברות העומדות מאחוריהם וכיצד תוקף מיומן יכול לנצל לטובתו את המאגרים החשופים ובעלי התצורות השגויות. הממצאים היו מפתיעים ומדאיגים מאוד. בהינתן שיעור הסיכונים שחשפנו, החלטנו להתריע על הממצאים בפני החברות שהושפעו".

עוד ב-

המפקח על הבנקים: הסיכון הגדול הוא הסייבר והחקיקה המשפטית

לכתבה המלאה

לכך הוסיף: "הממצאים שלנו ממחישים עד כמה קל לתוקף לפגוע ב-SDLC של הארגון ומדגישים את האיום החמור של התעלמות מטעויות פשוטות בניהול הרשאות", הוסיף מורג. "מעתה והלאה, צוותי אבטחה צריכים לוודא שיש ברשותם תוכניות דיווח אחראי לליקויי אבטחה ולהשקיע יותר באיתור ומניעת איומים על שרשרת אספקת התוכנה".