7 एप्लिकेशन सुरक्षा जोखिम जिन्हें रोका जा सकता था
7 एप्लिकेशन सुरक्षा जोखिमों का गहन विश्लेषण, वास्तविक ब्रीच के उदाहरण और आधुनिक प्रमाणीकरण व सुरक्षा उपायों के साथ उन्हें कैसे रोका जाए।
यह पेज अपने-आप अनुवादित किया गया है। मूल अंग्रेज़ी संस्करण पढ़ें यहाँ.
Enterprise Passkey व्हाइटपेपर. passkey कार्यक्रमों के लिए व्यावहारिक मार्गदर्शन, रोलआउट पैटर्न और KPIs।
- 2022 से 2024 के बीच MGM, Uber, CircleCI और Ticketmaster में हुए डेटा ब्रीच ने 600 मिलियन से अधिक उपयोगकर्ताओं के व्यक्तिगत डेटा को उजागर किया और करोड़ों डॉलर का नुकसान पहुँचाया।
- 2023 का MGM Resorts ब्रीच IT हेल्प डेस्क सपोर्ट को की गई एक विशिंग (vishing) कॉल के साथ शुरू हुआ, जिससे क्रेडेंशियल रीसेट हुए और रैंसमवेयर डिप्लॉयमेंट हुआ, जिसके कारण सिस्टम में सात दिनों तक रुकावट आई।
- Snowflake ब्रीच ने 165 संगठनों के सिस्टम में सेंध लगाई, जिसमें Ticketmaster (560 मिलियन ग्राहक रिकॉर्ड) और AT&T शामिल हैं। यह हमला उन खातों पर इन्फोस्टीलर मैलवेयर द्वारा चुराए गए क्रेडेंशियल्स के माध्यम से हुआ जिनमें MFA लागू नहीं था।
- Device Bound Session Credentials (DBSC) सेशन को विशिष्ट डिवाइस के साथ क्रिप्टोग्राफ़िक रूप से लिंक करके सेशन कुकी चोरी को रोकते हैं, जिससे अन्य मशीनों से चुराई गई कुकीज़ बेकार हो जाती हैं।
- इन रिपोर्ट किए गए ब्रीच में शामिल सभी संगठनों के पास अपने सिस्टम के प्रभावित होने से पहले पासकी (passkeys) लागू करने का विकल्प मौजूद था: 2022-2024 के दौरान पासकी एक परिपक्व और उपलब्ध तकनीक थी।
1. परिचय (Introduction)#
सितंबर 2022 से मई 2024 के बीच Uber, MGM Resorts, CircleCI, Ticketmaster और कई अन्य व्यवसायों सहित प्रमुख कॉर्पोरेशन्स को सुरक्षा उल्लंघनों का सामना करना पड़ा, जब हमलावरों ने उनके उपयोगकर्ता खाता सिस्टम में अनधिकृत पहुँच प्राप्त की। इन हमलों से करोड़ों डॉलर से अधिक का नुकसान हुआ, जबकि 600 मिलियन से अधिक उपयोगकर्ताओं का व्यक्तिगत डेटा उजागर हो गया। उस समय के पुराने प्रमाणीकरण सिस्टम इन सुरक्षा उल्लंघनों को रोक सकते थे।
इस बात का कोई सबूत नहीं है कि साइबर सुरक्षा हमलावरों ने इन हमलों को अंजाम देने के लिए परिष्कृत शून्य-दिन (zero-days) या अज्ञात सुभेद्यताओं (vulnerabilities) का उपयोग किया। ये घटनाएँ दिखाती हैं कि संगठन सुरक्षा उल्लंघनों को रोकने में कैसे विफल रहे। अधिकांश MFA फटीग (fatigue) हमलों से अवगत थे, फिर भी उन्होंने इनसे बचाव नहीं किया, और वे पासवर्ड-आधारित सिस्टम की कमियों को पहचानते थे, फिर भी उनका उपयोग करते रहे।
2. पुराने प्रमाणीकरण की विफलताएं#
कमज़ोर या पुराना प्रमाणीकरण हमलावरों के लिए एक सामान्य प्रवेश बिंदु है। अधिकांश सुरक्षा उल्लंघन तब शुरू होते हैं जब हमलावर चुराए गए या पहले उपयोग किए गए पासवर्ड प्राप्त करते हैं, भले ही संगठनों के पास स्थापित पासकी प्रमाणीकरण सिस्टम तक पहुँच हो, जो फ़िशिंग सुरक्षा प्रदान करते हैं। 2023 का MGM Resorts ब्रीच तब शुरू हुआ जब हमलावरों ने हेल्प डेस्क IT सपोर्ट तक पहुँचने के लिए विशिंग का उपयोग किया, जिससे उन्हें क्रेडेंशियल रीसेट करने और फिर रैंसमवेयर डिप्लॉय करने की अनुमति मिली, जिसके कारण सिस्टम सात दिनों तक ठप रहा।
MGM और अन्य संगठनों के सुरक्षा सिस्टम SMS-आधारित टू-फैक्टर ऑथेंटिकेशन (2FA) के साथ पासवर्ड का उपयोग करते थे, जो सोशल इंजीनियरिंग हमलों और क्रेडेंशियल चोरी से बचाने में विफल रहे। संगठनों ने बेहतर प्रमाणीकरण सिस्टम स्थापित नहीं किए क्योंकि वे सुरक्षा खतरों को समझते थे, फिर भी उनके वर्तमान सिस्टम और कार्य प्रक्रियाओं ने उन्हें बदलाव करने से रोक दिया।
पासकी, जो पब्लिक-की क्रिप्टोग्राफी और बायोमेट्रिक पहचान का उपयोग करती हैं, इन हमलों के सफल होने के जोखिम को काफी कम कर देती। पासकी पासवर्ड की तुलना में अधिक सुरक्षित हैं क्योंकि उपयोगकर्ता रीसेट कोड साझा करके रिमोट एक्सेस या हेल्प डेस्क सपोर्ट के माध्यम से उन्हें रीसेट नहीं कर सकते हैं, जो सोशल इंजीनियरिंग हमलों से बचाता है। पासकी की सुरक्षा विशिष्ट हमले के तरीकों के प्रति संवेदनशील बनी हुई है, जो तब होते हैं जब खाता रिकवरी प्रक्रियाएं ठीक से सुरक्षित नहीं होती हैं और जब डिवाइस मैलवेयर से संक्रमित हो जाते हैं।
3. सेशन और कुकी-आधारित हमले#
हमलावर कुकीज़ प्राप्त करने पर ध्यान केंद्रित करते हैं क्योंकि वे सिस्टम एक्सेस प्राप्त करने और सभी प्रमाणीकरण प्रक्रियाओं को बायपास करने में मदद करेंगी। 2022 का CircleCI ब्रीच यह दिखाकर इसे रेखांकित करता है कि कैसे किसी कर्मचारी के लैपटॉप पर मौजूद इन्फोस्टीलर मैलवेयर आसानी से सक्रिय सेशन कुकीज़ चुरा सकता है। इनका उपयोग करके, हमलावरों ने टू-फैक्टर ऑथेंटिकेशन को बायपास कर दिया और प्रोडक्शन सिस्टम तक पहुँच प्राप्त कर ली।
सेशन कुकीज़ अपने बियरर (bearer) टोकन के साथ एक्सेस कंट्रोल को दरकिनार करने के साधन के रूप में काम करती हैं, जिससे संवेदनशील डेटा का जोखिम बढ़ता है। ऐसी दुर्घटनाओं को रोकने के लिए, संगठन Device Bound Session Credentials (DBSC) लागू कर सकते हैं, जो सेशन को विशिष्ट डिवाइस के साथ लिंक करने के लिए क्रिप्टोग्राफ़िक विधियों का उपयोग करके उपयोगकर्ताओं को सेशन चोरी से बचाता है। इससे अन्य कंप्यूटरों से चुराई गई कुकीज़ का उपयोग करना असंभव हो जाता है। DBSC सिस्टम विभिन्न डिवाइस पर चलने वाले इन्फोस्टीलर मैलवेयर के खिलाफ प्रभावी सुरक्षा प्रदान करता है, लेकिन जब मैलवेयर शुरू में पंजीकृत डिवाइस को ही संक्रमित कर देता है तो यह हमलों को नहीं रोक सकता।
Live demo में passkeys आज़माएं.
4. ब्रोकन ऑथराइजेशन#
जब हमलावर एप्लिकेशन में एक्सेस कंट्रोल को तोड़ते हैं, तो वे अपनी अनुमतियों की परवाह किए बिना आंतरिक रूप से आगे बढ़ सकते हैं। ऑथराइजेशन की कमियों से सुरक्षा जोखिम अभी भी अधिक है क्योंकि हमलावरों ने कई नेटवर्क उल्लंघनों के दौरान सिस्टम घटकों के बीच नेविगेट करने के लिए अपर्याप्त एक्सेस कंट्रोल का सफलतापूर्वक उपयोग किया।
IDOR (Insecure Direct Object Reference) कमजोरियों की पहचान करने के लिए, एप्लिकेशन डेवलपर्स को बुनियादी एक्सेस मैनेजमेंट संरचनाओं का पता लगाने के लिए कॉन्सेप्ट-आधारित थ्रेट मॉडलिंग का उपयोग करना चाहिए और सर्विस अकाउंट अनुमतियों को मान्य करने के लिए कोड समीक्षा प्रक्रियाओं को लागू करना चाहिए।
लीस्ट-प्रिविलेज (least-privilege) मॉडल के बजाय जटिल भूमिका असाइनमेंट और अनुमति प्रबंधन का विकल्प चुनने से संगठन ऑथराइजेशन की समस्याओं के प्रति संवेदनशील हो सकते हैं। जटिल भूमिका असाइनमेंट से ग्राहक-सामना करने वाले एप्लिकेशनों में संवेदनशील जानकारी और कार्यों तक अनधिकृत पहुँच हो सकती है। सुरक्षित ऑथराइजेशन फ्रेमवर्क के बिना संगठन अपने डेटा को अनधिकृत पहुँच और संचालन से नहीं बचा सकते।
B2C सुरक्षा समस्याओं में वृद्धि के साथ, एक भी समझौता किया गया (compromised) खाता कई उपयोगकर्ता खातों को महत्वपूर्ण नुकसान पहुँचा सकता है। प्रिविलेज्ड एक्सेस मैनेजमेंट को लागू करके, संगठन अपने कर्मचारियों और ग्राहकों को केवल अपना काम पूरा करने के लिए आवश्यक न्यूनतम पहुँच दे सकते हैं। इसके अलावा, नियमित कॉन्सेप्ट-आधारित थ्रेट मॉडलिंग और कोड समीक्षा जोखिमों और कमजोरियों को आसानी से पहचानने में मदद कर सकती है।
5. असुरक्षित AI एकीकरण#
एप्लिकेशन में GenAI और LLM के तेजी से एकीकरण ने इन परिवर्तनों का पता लगाने के लिए पारंपरिक नियंत्रणों की क्षमता को पीछे छोड़ दिया है, जिसके परिणामस्वरूप अनदेखे सुरक्षा जोखिम पैदा होते हैं। 2024 का Snowflake ब्रीच यह दर्शाता है कि कैसे खतरे वाले तत्वों (threat actors) ने इन्फोस्टीलर मैलवेयर हमलों से चुराए गए क्रेडेंशियल्स का उपयोग Snowflake ग्राहक परिवेशों में प्रवेश करने के लिए किया, जिन्होंने मल्टी-फैक्टर ऑथेंटिकेशन लागू नहीं किया था। इस हमले ने 165 से अधिक संगठनों को प्रभावित किया, जिसमें Ticketmaster के 560 मिलियन ग्राहक रिकॉर्ड और AT&T व Santander Bank शामिल थे।
संगठन अक्सर AI को IT वातावरण के मूल भाग के रूप में स्वीकार करने में विफल रहते हैं, जिससे AI संसाधन जैसे मॉडल, वेक्टराइज़्ड डेटा स्टोर और AI पाइपलाइन मिसकॉन्फ़िगरेशन और साइबर-हमले के जोखिमों के प्रति संवेदनशील हो जाते हैं। अधिकांश संगठनों को "शैडो AI" के कारण AI सिस्टम की प्रभावी ढंग से निगरानी करना मुश्किल लगता है, जहाँ अनधिकृत व्यक्ति आंतरिक पहचान के बिना क्रेडेंशियल-आधारित हमले कर सकते हैं।
यदि संगठन अपने AI सिस्टम पर इनपुट वैलिडेशन, आइसोलेशन और निरंतर निगरानी जैसे बुनियादी नियंत्रण लागू करते हैं जैसे वे अन्य IT बुनियादी ढांचे के लिए करते हैं, तो इन सुरक्षा घटनाओं से बचा जा सकता था। संगठन AI सुरक्षा टूल का उपयोग करके मिसकॉन्फ़िगरेशन की पहचान और समाधान को स्वचालित कर सकते हैं, जो सभी AI संसाधनों की पूरी सूची प्रदान करते हैं।
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study6. क्लाउड और रनटाइम एनवायरनमेंट मिसकॉन्फ़िगरेशन#
क्लाउड में मिसकॉन्फ़िगरेशन, जिसमें एक्सपोज़्ड स्टोरेज बकेट, अत्यधिक अनुमत सुरक्षा समूह और एक्सपोज़्ड कंटेनर शामिल हैं, सुरक्षा घटनाओं का कारण बन सकते हैं। 2022 का ePallet ब्रीच यह दर्शाता है कि एक मिसकॉन्फ़िगर की गई Amazon S3 बकेट अन्य व्यवसायों के संवेदनशील ग्राहक डेटा को उजागर कर सकती है जो उनके टूल का उपयोग कर रहे हैं। हमलावरों ने संवेदनशील जानकारी तक पहुँचने के लिए दो मुख्य वैक्टरों का उपयोग किया: असुरक्षित स्टोरेज बकेट और अप्रभावी एक्सेस कंट्रोल वाले सुरक्षा समूह।
बेसिक कंप्लायंस स्कैनिंग से पता चलता है कि ये हमले दो मुख्य स्रोतों से उत्पन्न होते हैं, अर्थात् उपयोगकर्ता-विशिष्ट डेटा के साथ सार्वजनिक रूप से सुलभ स्टोरेज और एक्सपोज़्ड वर्चुअल मैनेजमेंट पोर्ट। संगठन इन मिसकॉन्फ़िगरेशन को अनुपालन के लिए अल्पकालिक सुधार के रूप में देख सकते हैं, लेकिन अधिकांश सुरक्षा उल्लंघन बिंदु बन जाते हैं।
मिसकॉन्फ़िगरेशन की पहचान करना और उन्हें सुधारना निरंतर क्लाउड सुरक्षा पोस्चर मैनेजमेंट या रनटाइम सुरक्षा जाँच के माध्यम से जारी रहना चाहिए, जो हमलावरों द्वारा कमजोरियों का फायदा उठाने के जोखिम को काफी कम करता है। संगठन मिसकॉन्फ़िगरेशन खोजने के लिए स्वचालित स्कैनिंग और निगरानी उपकरणों का उपयोग कर सकते हैं, और फिर निगरानी प्लेटफ़ॉर्म उन्हें सुधार सकता है।
7. SDLC में सुरक्षा की कमी#
उत्पादन प्रक्रिया में कमजोरियाँ तब प्रवेश करती हैं जब सुरक्षा कार्य सॉफ़्टवेयर विकास प्रक्रिया में ठीक से एकीकृत नहीं होते हैं। एक क्रिप्टो स्टार्टअप के CI/CD पाइपलाइन में मिसकॉन्फ़िगर किए गए GitHub एक्शन ने चुपचाप AWS क्रेडेंशियल साझा किए, जिससे हमलावरों को क्रिप्टोकरेंसी में $800 माइन करने में मदद मिली।
SAST/DAST, सुरक्षित कोड समीक्षा और डिपेंडेंसी स्कैनिंग आम सुरक्षा कमजोरियों की पहचान कर सकते हैं। वे इंजेक्शन हमलों से लेकर असुरक्षित डिसेरिएलाइजेशन और इनसिक्योर डायरेक्ट ऑब्जेक्ट रेफरेंस तक हो सकते हैं, लेकिन जब सुरक्षा पर कोई ध्यान नहीं दिया जाता है तो ये समस्याएं बनी रहती हैं।
सॉफ़्टवेयर डेवलपमेंट लाइफसाइकिल (SDLC) में सुरक्षा एकीकरण डेवलपर्स को सुरक्षा कमजोरियों की पहचान करने और हल करने में सक्षम बनाता है, जिसे वे उत्पादन में डिप्लॉयमेंट से पहले अपने वेब एप्लिकेशन में लागू कर सकते हैं। इन समस्याओं की रोकथाम के लिए संगठनों को तीन मूलभूत सुरक्षा प्रथाओं को लागू करने की आवश्यकता है, जिनमें स्वचालित स्कैनिंग, डिपेंडेंसी प्रबंधन और सुरक्षित कोड समीक्षाएं शामिल हैं।
Latest news के लिए हमारे Passkeys Substack को subscribe करें.
8. अपर्याप्त निगरानी और सुधार प्रक्रियाएं#
संगठनों को लगातार सुरक्षा उल्लंघनों का सामना करना पड़ता है क्योंकि वे चेतावनी संकेतकों को नहीं पहचान पाते हैं और सिस्टम असामान्यता के लिए परिभाषित सुधार प्रक्रियाओं का अभाव है। उन्हें लगातार अपने कंप्यूटर सिस्टम की निगरानी करनी चाहिए और 2022 Uber ब्रीच के प्रकाश में वर्तमान उद्योग मानकों का पालन करते हुए सुरक्षा उल्लंघनों के लिए एक स्पष्ट प्रतिक्रिया प्रक्रिया स्थापित करनी चाहिए। सुरक्षा घटनाओं की व्यापक लॉगिंग के बिना, संगठन क्रेडेंशियल स्टफिंग, असामान्य डिवाइस एक्सेस प्रयासों या असामान्य टोकन लेनदेन की निगरानी करने के लिए संघर्ष करते हैं।
संगठनों को प्रमाणीकरण और साइन-इन प्रयासों का पता लगाना या उपयोगकर्ता पंजीकरण घटनाओं को रिकॉर्ड करना चुनौतीपूर्ण लगता है क्योंकि उनके द्वारा एकत्र की गई जानकारी में सुरक्षा अधिकारों के दुरुपयोग की प्रारंभिक पहचान के लिए पर्याप्त विवरण का अभाव होता है।
संगठन के सिस्टम गोपनीयता-केंद्रित टेलीमेट्री और स्वचालित, एल्गोरिथम प्रतिक्रिया प्रक्रियाओं के माध्यम से असामान्य घटनाओं की पहचान करते हैं और उन्हें प्रबंधित करते हैं। AI डिटेक्शन और रिस्पांस क्षमताएं संगठनों को सुरक्षा घटनाओं के बीच संबंधों को पहचानने और उल्लंघनों को होने से रोकने में मदद करेंगी।
9. निष्कर्ष#
MGM, Snowflake, Uber और CircleCI उल्लंघनों का अध्ययन करने का सबसे निराशाजनक हिस्सा यह समझना है कि इन घटनाओं से बचा जा सकता था। यह घटना अपरिहार्य हो गई क्योंकि वर्तमान तकनीक में आवश्यक क्षमताओं का अभाव था जिनका उपयोग सुरक्षा-केंद्रित व्यवसाय पहले से ही अपने प्रमाणीकरण सिस्टम के लिए करते थे।
इस रिपोर्ट में शामिल सभी संगठनों के पास अपने सिस्टम के हैक होने से पहले पासकी डिप्लॉय करने का एक्सेस था। जहाँ पासकी 2022-2024 के दौरान उपलब्ध और परिपक्व तकनीक थीं, वहीं Device Bound Session Credentials (DBSC) 2024 तक व्यापक रूप से उपलब्ध नहीं थे। सिस्टम में MFA प्रवर्तन, नेटवर्क अलाउलिस्ट, लीस्ट-प्रिविलेज IAM और निगरानी जैसे कई क्लाउड सुरक्षा नियंत्रण शामिल थे। हालाँकि, इन नियंत्रणों को पूर्ण सुरक्षा के लिए मैन्युअल सेटअप की आवश्यकता थी।
कुछ संगठनों की सुरक्षा टीमों ने इन नियंत्रणों का समर्थन किया, फिर भी वे बदलाव के प्रति कंपनी-व्यापी प्रतिरोध को हराने में विफल रहे। इसका परिणाम यह हुआ कि 600 मिलियन से अधिक लोगों का व्यक्तिगत डेटा एक्सपोज़ हुआ, नियामक जाँच हुई और करोड़ों का कुल नुकसान हुआ।
संगठनों ने ऐसे शोध किए हैं जो प्रदर्शित करते हैं कि क्रेडेंशियल-आधारित हमले त्वरित गति से बढ़ेंगे, इसलिए संगठनों को इस महत्वपूर्ण सुरक्षा खतरे से तुरंत निपटने की आवश्यकता है। आपके संगठन को यह निर्धारित करने की आवश्यकता है कि क्या वह अन्य संगठनों द्वारा आपके सुरक्षा विफलता को उनके ब्रीच की जांच में एक उदाहरण के रूप में उपयोग करने से पहले या बाद में आधुनिक प्रमाणीकरण सिस्टम अपनाएगा।
एप्लिकेशन सुरक्षा उपकरण मौजूद हैं, और वे एक सरल प्रक्रिया के माध्यम से स्वचालित रूप से काम करते हैं जिसके लिए किसी जटिल इंस्टॉलेशन प्रक्रिया की आवश्यकता नहीं होती है। ROI मापने योग्य है। सुरक्षा समुदाय में तात्कालिकता की भावना का अभाव है, जो इसे प्रमाणीकरण आधुनिकीकरण को एक आवश्यक सुरक्षा नियंत्रण के रूप में पहचानने में सक्षम बनाएगा। संगठन को तुरंत कार्रवाई करने की आवश्यकता है क्योंकि अगली हेल्प डेस्क कॉल, फ़िशिंग ईमेल और इन्फोस्टीलर पेलोड सौ मिलियन डॉलर की घटना में विकसित होंगे।
Corbado के बारे में
Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →
अक्सर पूछे जाने वाले प्रश्न (FAQ)#
CircleCI ब्रीच ने टू-फैक्टर ऑथेंटिकेशन को कैसे बायपास किया?#
2022 के CircleCI ब्रीच में, किसी कर्मचारी के लैपटॉप पर इन्फोस्टीलर मैलवेयर ने सक्रिय सेशन कुकीज़ सीधे चुरा लीं। चूँकि सेशन कुकीज़ तत्काल एक्सेस प्रदान करने वाले बियरर टोकन के रूप में कार्य करती हैं, इसलिए हमलावरों ने उनका उपयोग टू-फैक्टर ऑथेंटिकेशन को पूरी तरह से बायपास करने और प्रोडक्शन सिस्टम तक पहुँचने के लिए किया।
सुरक्षा के लिए DBSC और मानक सेशन कुकीज़ में क्या अंतर है?#
मानक सेशन कुकीज़ को इन्फोस्टीलर मैलवेयर द्वारा चुराया जा सकता है और प्रमाणीकरण नियंत्रण को बायपास करते हुए किसी भी डिवाइस से पुन: उपयोग किया जा सकता है। Device Bound Session Credentials (DBSC) सेशन को उस विशिष्ट डिवाइस से बांधने के लिए क्रिप्टोग्राफ़िक विधियों का उपयोग करते हैं जिसने इसे बनाया है, ताकि चुराई गई कुकीज़ को हमलावर-नियंत्रित मशीनों से दोहराया न जा सके।
ब्रोकन एक्सेस कंट्रोल ने Snowflake ब्रीच में इतना व्यापक नुकसान क्यों पहुँचाया?#
Snowflake ब्रीच ने 165 से अधिक ग्राहक संगठनों को प्रभावित किया क्योंकि व्यक्तिगत टेनेंट (tenant) वातावरण में MFA लागू नहीं था, जिसका अर्थ है कि चुराए गए क्रेडेंशियल्स का एक सेट पूरे ग्राहक डेटा स्टोर को अनलॉक कर सकता है। इस एकल नियंत्रण अंतराल के परिणामस्वरूप अकेले Ticketmaster के 560 मिलियन ग्राहक रिकॉर्ड उजागर हुए।
किस SDLC सुरक्षा विफलता के कारण GitHub Actions क्रिप्टोकरेंसी माइनिंग की घटना हुई?#
एक क्रिप्टो स्टार्टअप के CI/CD पाइपलाइन में एक मिसकॉन्फ़िगर किया गया GitHub Actions वर्कफ़्लो चुपचाप हमलावरों को AWS क्रेडेंशियल लीक कर रहा था, जिन्होंने उनका उपयोग 800 अमेरिकी डॉलर की क्रिप्टोकरेंसी माइन करने के लिए किया। लेख स्वचालित SAST/DAST स्कैनिंग, डिपेंडेंसी प्रबंधन और सुरक्षित कोड समीक्षाओं को उन तीन प्रथाओं के रूप में पहचानता है जो उत्पादन डिप्लॉयमेंट से पहले इस मिसकॉन्फ़िगरेशन को पकड़ लेते।
यह लेख साझा करें
संबंधित लेख
विषय सूची