בשנים האחרונות חלה עלייה חדה במודעות לאיומי הסייבר והצורך בהגנה על מידע רגיש, אולם לצד מאמצי האבטחה המתמשכים, מתגלים שוב ושוב פערים משמעותיים בהגנה על נתונים. אחת הדמויות המרכזיות בחשיפת הפערים הללו הוא ביל דמירקפי, חוקר אבטחת מידע עצמאי, שהצליח לחשוף פרצות משמעותיות באמצעות גישה חדשנית למקורות נתונים שהוזנחו על ידי אחרים. דמירקפי פיתח כלים שמאפשרים לו לסרוק כמויות עצומות של נתונים, ולחשוף בעיות אבטחה רגישות שמעמידות חברות וארגונים בסיכון משמעותי.

בכנס האבטחה Defcon שנערך לאחרונה בלאס וגאס, הציג דמירקפי את תוצאות מחקרו, בו איתר למעלה מ-15,000 סודות מפתחים שהוכנסו ישירות לתוך תוכנות, כולל סיסמאות, מפתחות API ומפתחות אימות. בין הממצאים, הוא חשף גישה למערכות IT של בית המשפט העליון של נברסקה, ערוצי Slack של אוניברסיטת סטנפורד, ומפתחות API של לקוחות OpenAI. בנוסף, הוא איתר 66,000 אתרי אינטרנט עם בעיות תת-דומיינים פגיעות, כולל אתרים של חברות גדולות כמו הניו יורק טיימס.

סודות חברה או סודות מפתחים הם נתונים או מידע רגיש שמאוחסן בצורה כזו או אחרת בקוד תוכנה או במערכות החברה, וכוללים לרוב סיסמאות, מפתחות API, מפתחות הצפנה ועוד. המשותף לכולם הוא שמדובר במידע רגיש מאוד, כך שכאשר סודות כאלה נחשפים בטעות, הם עלולים לשמש תוקפים כדי לחדור למערכות החברה, לגנוב מידע או לגרום נזקים נוספים.

עוד ב-

זהירות: כך פושעי סייבר תוקפים את חשבון האימייל שלכם

לכתבה המלאה

למרות שמדובר בבעיות אבטחה מוכרות, דמירקפי הצליח לזהות מספר רב של פרצות בקנה מידה רחב באמצעות גישה יצירתית למקורות נתונים לא שגרתיים. חלק מהבעיות דווחו ישירות לחברות הנפגעות, ואחרות טופלו באמצעות כלים אוטומטיים שפיתח החוקר במטרה למנוע ניצול של המידע הרגיש על ידי האקרים.