---
url: 'https://www.corbado.com/hi/blog/application-security-risks'
title: '7 एप्लिकेशन सुरक्षा जोखिम जिन्हें रोका जा सकता था'
description: '7 एप्लिकेशन सुरक्षा जोखिमों का गहन विश्लेषण, वास्तविक ब्रीच के उदाहरण और आधुनिक प्रमाणीकरण व सुरक्षा उपायों के साथ उन्हें कैसे रोका जाए।'
lang: 'hi'
author: 'Muhammad Aqeel'
date: '2026-05-27T10:54:11.694Z'
lastModified: '2026-05-27T10:54:55.177Z'
keywords: 'एप्लिकेशन सुरक्षा जोखिम, ब्रोकन एक्सेस कंट्रोल, क्लाउड मिसकॉन्फ़िगरेशन, संवेदनशील डेटा एक्सपोज़र, डेटा ब्रीच'
category: 'Authentication'
---

# 7 एप्लिकेशन सुरक्षा जोखिम जिन्हें रोका जा सकता था

## Key Facts

- 2022 से 2024 के बीच MGM, Uber, CircleCI और Ticketmaster में हुए डेटा ब्रीच ने **600 मिलियन से अधिक उपयोगकर्ताओं** के व्यक्तिगत डेटा को उजागर किया और करोड़ों डॉलर का नुकसान पहुँचाया।
- 2023 का **MGM Resorts ब्रीच** IT हेल्प डेस्क सपोर्ट को की गई एक विशिंग (vishing) कॉल के साथ शुरू हुआ, जिससे क्रेडेंशियल रीसेट हुए और रैंसमवेयर डिप्लॉयमेंट हुआ, जिसके कारण सिस्टम में सात दिनों तक रुकावट आई।
- **Snowflake ब्रीच** ने 165 संगठनों के सिस्टम में सेंध लगाई, जिसमें Ticketmaster (560 मिलियन ग्राहक रिकॉर्ड) और AT&T शामिल हैं। यह हमला उन खातों पर इन्फोस्टीलर मैलवेयर द्वारा चुराए गए क्रेडेंशियल्स के माध्यम से हुआ जिनमें MFA लागू नहीं था।
- **Device Bound Session Credentials (DBSC)** सेशन को विशिष्ट डिवाइस के साथ क्रिप्टोग्राफ़िक रूप से लिंक करके सेशन कुकी चोरी को रोकते हैं, जिससे अन्य मशीनों से चुराई गई कुकीज़ बेकार हो जाती हैं।
- इन रिपोर्ट किए गए ब्रीच में शामिल सभी संगठनों के पास अपने सिस्टम के प्रभावित होने से पहले पासकी (passkeys) लागू करने का विकल्प मौजूद था: 2022-2024 के दौरान पासकी एक परिपक्व और उपलब्ध तकनीक थी।

## 1. परिचय (Introduction)

सितंबर 2022 से मई 2024 के बीच Uber, MGM Resorts, CircleCI, Ticketmaster और कई अन्य व्यवसायों सहित प्रमुख कॉर्पोरेशन्स को सुरक्षा उल्लंघनों का सामना करना पड़ा, जब हमलावरों ने उनके उपयोगकर्ता खाता सिस्टम में अनधिकृत पहुँच प्राप्त की। इन हमलों से करोड़ों डॉलर से अधिक का नुकसान हुआ, जबकि 600 मिलियन से अधिक उपयोगकर्ताओं का व्यक्तिगत डेटा उजागर हो गया। उस समय के पुराने प्रमाणीकरण सिस्टम इन सुरक्षा उल्लंघनों को रोक सकते थे।

इस बात का कोई सबूत नहीं है कि साइबर सुरक्षा हमलावरों ने इन हमलों को अंजाम देने के लिए परिष्कृत शून्य-दिन (zero-days) या अज्ञात सुभेद्यताओं (vulnerabilities) का उपयोग किया। ये घटनाएँ दिखाती हैं कि संगठन सुरक्षा उल्लंघनों को रोकने में कैसे विफल रहे। अधिकांश MFA फटीग (fatigue) हमलों से अवगत थे, फिर भी उन्होंने इनसे बचाव नहीं किया, और वे पासवर्ड-आधारित सिस्टम की कमियों को पहचानते थे, फिर भी उनका उपयोग करते रहे।

## 2. पुराने प्रमाणीकरण की विफलताएं

कमज़ोर या पुराना प्रमाणीकरण हमलावरों के लिए एक सामान्य प्रवेश बिंदु है। अधिकांश सुरक्षा उल्लंघन तब शुरू होते हैं जब हमलावर चुराए गए या पहले उपयोग किए गए पासवर्ड प्राप्त करते हैं, भले ही संगठनों के पास स्थापित पासकी प्रमाणीकरण सिस्टम तक पहुँच हो, जो फ़िशिंग सुरक्षा प्रदान करते हैं।
[2023 का MGM Resorts ब्रीच](https://www.forbes.com/sites/steveweisman/2025/03/12/mgm-ransomware--attack-update/) तब शुरू हुआ जब हमलावरों ने हेल्प डेस्क IT सपोर्ट तक पहुँचने के लिए विशिंग का उपयोग किया, जिससे उन्हें क्रेडेंशियल रीसेट करने और फिर रैंसमवेयर डिप्लॉय करने की अनुमति मिली, जिसके कारण सिस्टम सात दिनों तक ठप रहा।

MGM और अन्य संगठनों के सुरक्षा सिस्टम SMS-आधारित टू-फैक्टर ऑथेंटिकेशन (2FA) के साथ पासवर्ड का उपयोग करते थे, जो सोशल इंजीनियरिंग हमलों और क्रेडेंशियल चोरी से बचाने में विफल रहे। संगठनों ने बेहतर प्रमाणीकरण सिस्टम स्थापित नहीं किए क्योंकि वे सुरक्षा खतरों को समझते थे, फिर भी उनके वर्तमान सिस्टम और कार्य प्रक्रियाओं ने उन्हें बदलाव करने से रोक दिया।

पासकी, जो पब्लिक-की क्रिप्टोग्राफी और बायोमेट्रिक पहचान का उपयोग करती हैं, इन हमलों के सफल होने के जोखिम को काफी कम कर देती। पासकी पासवर्ड की तुलना में अधिक सुरक्षित हैं क्योंकि उपयोगकर्ता रीसेट कोड साझा करके रिमोट एक्सेस या हेल्प डेस्क सपोर्ट के माध्यम से उन्हें रीसेट नहीं कर सकते हैं, जो सोशल इंजीनियरिंग हमलों से बचाता है। पासकी की सुरक्षा विशिष्ट हमले के तरीकों के प्रति संवेदनशील बनी हुई है, जो तब होते हैं जब खाता रिकवरी प्रक्रियाएं ठीक से सुरक्षित नहीं होती हैं और जब डिवाइस मैलवेयर से संक्रमित हो जाते हैं।

## 3. सेशन और कुकी-आधारित हमले

हमलावर कुकीज़ प्राप्त करने पर ध्यान केंद्रित करते हैं क्योंकि वे सिस्टम एक्सेस प्राप्त करने और सभी प्रमाणीकरण प्रक्रियाओं को बायपास करने में मदद करेंगी।
[2022 का CircleCI ब्रीच](https://thehackernews.com/2023/01/malware-attack-on-circleci-engineers.html) यह दिखाकर इसे रेखांकित करता है कि कैसे किसी कर्मचारी के लैपटॉप पर मौजूद इन्फोस्टीलर मैलवेयर आसानी से सक्रिय सेशन कुकीज़ चुरा सकता है। इनका उपयोग करके, हमलावरों ने टू-फैक्टर ऑथेंटिकेशन को बायपास कर दिया और प्रोडक्शन सिस्टम तक पहुँच प्राप्त कर ली।

सेशन कुकीज़ अपने बियरर (bearer) टोकन के साथ एक्सेस कंट्रोल को दरकिनार करने के साधन के रूप में काम करती हैं, जिससे संवेदनशील डेटा का जोखिम बढ़ता है। ऐसी दुर्घटनाओं को रोकने के लिए, संगठन Device Bound Session Credentials (DBSC) लागू कर सकते हैं, जो सेशन को विशिष्ट डिवाइस के साथ लिंक करने के लिए क्रिप्टोग्राफ़िक विधियों का उपयोग करके उपयोगकर्ताओं को सेशन चोरी से बचाता है। इससे अन्य कंप्यूटरों से चुराई गई कुकीज़ का उपयोग करना असंभव हो जाता है। DBSC सिस्टम विभिन्न डिवाइस पर चलने वाले इन्फोस्टीलर मैलवेयर के खिलाफ प्रभावी सुरक्षा प्रदान करता है, लेकिन जब मैलवेयर शुरू में पंजीकृत डिवाइस को ही संक्रमित कर देता है तो यह हमलों को नहीं रोक सकता।

## 4. ब्रोकन ऑथराइजेशन

जब हमलावर एप्लिकेशन में एक्सेस कंट्रोल को तोड़ते हैं, तो वे अपनी अनुमतियों की परवाह किए बिना आंतरिक रूप से आगे बढ़ सकते हैं। ऑथराइजेशन की कमियों से सुरक्षा जोखिम अभी भी अधिक है क्योंकि हमलावरों ने कई नेटवर्क उल्लंघनों के दौरान सिस्टम घटकों के बीच नेविगेट करने के लिए अपर्याप्त एक्सेस कंट्रोल का सफलतापूर्वक उपयोग किया।

IDOR (Insecure Direct Object Reference) कमजोरियों की पहचान करने के लिए, एप्लिकेशन डेवलपर्स को बुनियादी एक्सेस मैनेजमेंट संरचनाओं का पता लगाने के लिए कॉन्सेप्ट-आधारित थ्रेट मॉडलिंग का उपयोग करना चाहिए और सर्विस अकाउंट अनुमतियों को मान्य करने के लिए कोड समीक्षा प्रक्रियाओं को लागू करना चाहिए।

लीस्ट-प्रिविलेज (least-privilege) मॉडल के बजाय जटिल भूमिका असाइनमेंट और अनुमति प्रबंधन का विकल्प चुनने से संगठन ऑथराइजेशन की समस्याओं के प्रति संवेदनशील हो सकते हैं। जटिल भूमिका असाइनमेंट से ग्राहक-सामना करने वाले एप्लिकेशनों में संवेदनशील जानकारी और कार्यों तक अनधिकृत पहुँच हो सकती है। सुरक्षित ऑथराइजेशन फ्रेमवर्क के बिना संगठन अपने डेटा को अनधिकृत पहुँच और संचालन से नहीं बचा सकते।

B2C सुरक्षा समस्याओं में वृद्धि के साथ, एक भी समझौता किया गया (compromised) खाता कई उपयोगकर्ता खातों को महत्वपूर्ण नुकसान पहुँचा सकता है। प्रिविलेज्ड एक्सेस मैनेजमेंट को लागू करके, संगठन अपने कर्मचारियों और ग्राहकों को केवल अपना काम पूरा करने के लिए आवश्यक न्यूनतम पहुँच दे सकते हैं। इसके अलावा, नियमित कॉन्सेप्ट-आधारित थ्रेट मॉडलिंग और कोड समीक्षा जोखिमों और कमजोरियों को आसानी से पहचानने में मदद कर सकती है।

## 5. असुरक्षित AI एकीकरण

एप्लिकेशन में GenAI और LLM के तेजी से एकीकरण ने इन परिवर्तनों का पता लगाने के लिए पारंपरिक नियंत्रणों की क्षमता को पीछे छोड़ दिया है, जिसके परिणामस्वरूप अनदेखे सुरक्षा जोखिम पैदा होते हैं।
[2024 का Snowflake ब्रीच](https://en.wikipedia.org/wiki/Snowflake_data_breach) यह दर्शाता है कि कैसे खतरे वाले तत्वों (threat actors) ने इन्फोस्टीलर मैलवेयर हमलों से चुराए गए क्रेडेंशियल्स का उपयोग Snowflake ग्राहक परिवेशों में प्रवेश करने के लिए किया, जिन्होंने मल्टी-फैक्टर ऑथेंटिकेशन लागू नहीं किया था। इस हमले ने 165 से अधिक संगठनों को प्रभावित किया, जिसमें Ticketmaster के 560 मिलियन ग्राहक रिकॉर्ड और AT&T व Santander Bank शामिल थे।

संगठन अक्सर AI को IT वातावरण के मूल भाग के रूप में स्वीकार करने में विफल रहते हैं, जिससे AI संसाधन जैसे मॉडल, वेक्टराइज़्ड डेटा स्टोर और AI पाइपलाइन मिसकॉन्फ़िगरेशन और साइबर-हमले के जोखिमों के प्रति संवेदनशील हो जाते हैं। अधिकांश संगठनों को "शैडो AI" के कारण AI सिस्टम की प्रभावी ढंग से निगरानी करना मुश्किल लगता है, जहाँ अनधिकृत व्यक्ति आंतरिक पहचान के बिना क्रेडेंशियल-आधारित हमले कर सकते हैं।

यदि संगठन अपने AI सिस्टम पर इनपुट वैलिडेशन, आइसोलेशन और निरंतर निगरानी जैसे बुनियादी नियंत्रण लागू करते हैं जैसे वे अन्य IT बुनियादी ढांचे के लिए करते हैं, तो इन सुरक्षा घटनाओं से बचा जा सकता था। संगठन [AI सुरक्षा टूल](https://www.wiz.io/academy/ai-security-solutions) का उपयोग करके मिसकॉन्फ़िगरेशन की पहचान और समाधान को स्वचालित कर सकते हैं, जो सभी AI संसाधनों की पूरी सूची प्रदान करते हैं।

## 6. क्लाउड और रनटाइम एनवायरनमेंट मिसकॉन्फ़िगरेशन

क्लाउड में मिसकॉन्फ़िगरेशन, जिसमें एक्सपोज़्ड स्टोरेज बकेट, अत्यधिक अनुमत सुरक्षा समूह और एक्सपोज़्ड कंटेनर शामिल हैं, सुरक्षा घटनाओं का कारण बन सकते हैं। 2022 का
[ePallet ब्रीच](https://www.websiteplanet.com/blog/epallet-leak-report/) यह दर्शाता है कि एक मिसकॉन्फ़िगर की गई Amazon S3 बकेट अन्य व्यवसायों के संवेदनशील ग्राहक डेटा को उजागर कर सकती है जो उनके टूल का उपयोग कर रहे हैं। हमलावरों ने संवेदनशील जानकारी तक पहुँचने के लिए दो मुख्य वैक्टरों का उपयोग किया: असुरक्षित स्टोरेज बकेट और अप्रभावी एक्सेस कंट्रोल वाले सुरक्षा समूह।

बेसिक कंप्लायंस स्कैनिंग से पता चलता है कि ये हमले दो मुख्य स्रोतों से उत्पन्न होते हैं, अर्थात् उपयोगकर्ता-विशिष्ट डेटा के साथ सार्वजनिक रूप से सुलभ स्टोरेज और एक्सपोज़्ड वर्चुअल मैनेजमेंट पोर्ट। संगठन इन मिसकॉन्फ़िगरेशन को अनुपालन के लिए अल्पकालिक सुधार के रूप में देख सकते हैं, लेकिन अधिकांश सुरक्षा उल्लंघन बिंदु बन जाते हैं।

मिसकॉन्फ़िगरेशन की पहचान करना और उन्हें सुधारना निरंतर क्लाउड सुरक्षा पोस्चर मैनेजमेंट या रनटाइम सुरक्षा जाँच के माध्यम से जारी रहना चाहिए, जो हमलावरों द्वारा कमजोरियों का फायदा उठाने के जोखिम को काफी कम करता है। संगठन मिसकॉन्फ़िगरेशन खोजने के लिए स्वचालित स्कैनिंग और निगरानी उपकरणों का उपयोग कर सकते हैं, और फिर निगरानी प्लेटफ़ॉर्म उन्हें सुधार सकता है।

## 7. SDLC में सुरक्षा की कमी

उत्पादन प्रक्रिया में कमजोरियाँ तब प्रवेश करती हैं जब सुरक्षा कार्य सॉफ़्टवेयर विकास प्रक्रिया में ठीक से एकीकृत नहीं होते हैं। एक क्रिप्टो स्टार्टअप के
[CI/CD पाइपलाइन में मिसकॉन्फ़िगर किए गए GitHub एक्शन](https://infosecwriteups.com/day-16-the-ci-cd-betrayal-how-a-tiny-github-action-misconfiguration-led-to-a-800-cloud-breach-05a229c0684d)
ने चुपचाप AWS क्रेडेंशियल साझा किए, जिससे हमलावरों को क्रिप्टोकरेंसी में $800 माइन करने में मदद मिली।

SAST/DAST, सुरक्षित कोड समीक्षा और डिपेंडेंसी स्कैनिंग आम सुरक्षा कमजोरियों की पहचान कर सकते हैं। वे इंजेक्शन हमलों से लेकर असुरक्षित डिसेरिएलाइजेशन और इनसिक्योर डायरेक्ट ऑब्जेक्ट रेफरेंस तक हो सकते हैं, लेकिन जब सुरक्षा पर कोई ध्यान नहीं दिया जाता है तो ये समस्याएं बनी रहती हैं।

सॉफ़्टवेयर डेवलपमेंट लाइफसाइकिल (SDLC) में सुरक्षा एकीकरण डेवलपर्स को सुरक्षा कमजोरियों की पहचान करने और हल करने में सक्षम बनाता है, जिसे वे उत्पादन में डिप्लॉयमेंट से पहले अपने वेब एप्लिकेशन में लागू कर सकते हैं। इन समस्याओं की रोकथाम के लिए संगठनों को तीन मूलभूत सुरक्षा प्रथाओं को लागू करने की आवश्यकता है, जिनमें स्वचालित स्कैनिंग, डिपेंडेंसी प्रबंधन और सुरक्षित कोड समीक्षाएं शामिल हैं।

## 8. अपर्याप्त निगरानी और सुधार प्रक्रियाएं

संगठनों को लगातार सुरक्षा उल्लंघनों का सामना करना पड़ता है क्योंकि वे चेतावनी संकेतकों को नहीं पहचान पाते हैं और सिस्टम असामान्यता के लिए परिभाषित सुधार प्रक्रियाओं का अभाव है। उन्हें लगातार अपने कंप्यूटर सिस्टम की निगरानी करनी चाहिए और [2022 Uber ब्रीच](https://www.researchgate.net/publication/383425090_Dissecting_The_Uber_Security_Breach_Root_Cause_Analysis_and_Mitigation_Strategies) के प्रकाश में वर्तमान उद्योग मानकों का पालन करते हुए सुरक्षा उल्लंघनों के लिए एक स्पष्ट प्रतिक्रिया प्रक्रिया स्थापित करनी चाहिए।
सुरक्षा घटनाओं की व्यापक लॉगिंग के बिना, संगठन क्रेडेंशियल स्टफिंग, असामान्य डिवाइस एक्सेस प्रयासों या असामान्य टोकन लेनदेन की निगरानी करने के लिए संघर्ष करते हैं।

संगठनों को प्रमाणीकरण और साइन-इन प्रयासों का पता लगाना या उपयोगकर्ता पंजीकरण घटनाओं को रिकॉर्ड करना चुनौतीपूर्ण लगता है क्योंकि उनके द्वारा एकत्र की गई जानकारी में सुरक्षा अधिकारों के दुरुपयोग की प्रारंभिक पहचान के लिए पर्याप्त विवरण का अभाव होता है।

संगठन के सिस्टम गोपनीयता-केंद्रित टेलीमेट्री और स्वचालित, एल्गोरिथम प्रतिक्रिया प्रक्रियाओं के माध्यम से असामान्य घटनाओं की पहचान करते हैं और उन्हें प्रबंधित करते हैं। AI डिटेक्शन और रिस्पांस क्षमताएं संगठनों को सुरक्षा घटनाओं के बीच संबंधों को पहचानने और उल्लंघनों को होने से रोकने में मदद करेंगी।

## 9. निष्कर्ष

MGM, Snowflake, Uber और CircleCI उल्लंघनों का अध्ययन करने का सबसे निराशाजनक हिस्सा यह समझना है कि इन घटनाओं से बचा जा सकता था। यह घटना अपरिहार्य हो गई क्योंकि वर्तमान तकनीक में आवश्यक क्षमताओं का अभाव था जिनका उपयोग सुरक्षा-केंद्रित व्यवसाय पहले से ही अपने प्रमाणीकरण सिस्टम के लिए करते थे।

इस रिपोर्ट में शामिल सभी संगठनों के पास अपने सिस्टम के हैक होने से पहले पासकी डिप्लॉय करने का एक्सेस था। जहाँ पासकी 2022-2024 के दौरान उपलब्ध और परिपक्व तकनीक थीं, वहीं Device Bound Session Credentials (DBSC) 2024 तक व्यापक रूप से उपलब्ध नहीं थे। सिस्टम में MFA प्रवर्तन, नेटवर्क अलाउलिस्ट, लीस्ट-प्रिविलेज IAM और निगरानी जैसे कई क्लाउड सुरक्षा नियंत्रण शामिल थे। हालाँकि, इन नियंत्रणों को पूर्ण सुरक्षा के लिए मैन्युअल सेटअप की आवश्यकता थी।

कुछ संगठनों की सुरक्षा टीमों ने इन नियंत्रणों का समर्थन किया, फिर भी वे बदलाव के प्रति कंपनी-व्यापी प्रतिरोध को हराने में विफल रहे। इसका परिणाम यह हुआ कि 600 मिलियन से अधिक लोगों का व्यक्तिगत डेटा एक्सपोज़ हुआ, नियामक जाँच हुई और करोड़ों का कुल नुकसान हुआ।

संगठनों ने ऐसे शोध किए हैं जो प्रदर्शित करते हैं कि क्रेडेंशियल-आधारित हमले त्वरित गति से बढ़ेंगे, इसलिए संगठनों को इस महत्वपूर्ण सुरक्षा खतरे से तुरंत निपटने की आवश्यकता है। आपके संगठन को यह निर्धारित करने की आवश्यकता है कि क्या वह अन्य संगठनों द्वारा आपके सुरक्षा विफलता को उनके ब्रीच की जांच में एक उदाहरण के रूप में उपयोग करने से पहले या बाद में आधुनिक प्रमाणीकरण सिस्टम अपनाएगा।

एप्लिकेशन सुरक्षा उपकरण मौजूद हैं, और वे एक सरल प्रक्रिया के माध्यम से स्वचालित रूप से काम करते हैं जिसके लिए किसी जटिल इंस्टॉलेशन प्रक्रिया की आवश्यकता नहीं होती है। ROI मापने योग्य है। सुरक्षा समुदाय में तात्कालिकता की भावना का अभाव है, जो इसे प्रमाणीकरण आधुनिकीकरण को एक आवश्यक सुरक्षा नियंत्रण के रूप में पहचानने में सक्षम बनाएगा। संगठन को तुरंत कार्रवाई करने की आवश्यकता है क्योंकि अगली हेल्प डेस्क कॉल, फ़िशिंग ईमेल और इन्फोस्टीलर पेलोड सौ मिलियन डॉलर की घटना में विकसित होंगे।

## अक्सर पूछे जाने वाले प्रश्न (FAQ)

### CircleCI ब्रीच ने टू-फैक्टर ऑथेंटिकेशन को कैसे बायपास किया?

2022 के CircleCI ब्रीच में, किसी कर्मचारी के लैपटॉप पर इन्फोस्टीलर मैलवेयर ने सक्रिय सेशन कुकीज़ सीधे चुरा लीं। चूँकि सेशन कुकीज़ तत्काल एक्सेस प्रदान करने वाले बियरर टोकन के रूप में कार्य करती हैं, इसलिए हमलावरों ने उनका उपयोग टू-फैक्टर ऑथेंटिकेशन को पूरी तरह से बायपास करने और प्रोडक्शन सिस्टम तक पहुँचने के लिए किया।

### सुरक्षा के लिए DBSC और मानक सेशन कुकीज़ में क्या अंतर है?

मानक सेशन कुकीज़ को इन्फोस्टीलर मैलवेयर द्वारा चुराया जा सकता है और प्रमाणीकरण नियंत्रण को बायपास करते हुए किसी भी डिवाइस से पुन: उपयोग किया जा सकता है। Device Bound Session Credentials (DBSC) सेशन को उस विशिष्ट डिवाइस से बांधने के लिए क्रिप्टोग्राफ़िक विधियों का उपयोग करते हैं जिसने इसे बनाया है, ताकि चुराई गई कुकीज़ को हमलावर-नियंत्रित मशीनों से दोहराया न जा सके।

### ब्रोकन एक्सेस कंट्रोल ने Snowflake ब्रीच में इतना व्यापक नुकसान क्यों पहुँचाया?

Snowflake ब्रीच ने 165 से अधिक ग्राहक संगठनों को प्रभावित किया क्योंकि व्यक्तिगत टेनेंट (tenant) वातावरण में MFA लागू नहीं था, जिसका अर्थ है कि चुराए गए क्रेडेंशियल्स का एक सेट पूरे ग्राहक डेटा स्टोर को अनलॉक कर सकता है। इस एकल नियंत्रण अंतराल के परिणामस्वरूप अकेले Ticketmaster के 560 मिलियन ग्राहक रिकॉर्ड उजागर हुए।

### किस SDLC सुरक्षा विफलता के कारण GitHub Actions क्रिप्टोकरेंसी माइनिंग की घटना हुई?

एक क्रिप्टो स्टार्टअप के CI/CD पाइपलाइन में एक मिसकॉन्फ़िगर किया गया GitHub Actions वर्कफ़्लो चुपचाप हमलावरों को AWS क्रेडेंशियल लीक कर रहा था, जिन्होंने उनका उपयोग 800 अमेरिकी डॉलर की क्रिप्टोकरेंसी माइन करने के लिए किया। लेख स्वचालित SAST/DAST स्कैनिंग, डिपेंडेंसी प्रबंधन और सुरक्षित कोड समीक्षाओं को उन तीन प्रथाओं के रूप में पहचानता है जो उत्पादन डिप्लॉयमेंट से पहले इस मिसकॉन्फ़िगरेशन को पकड़ लेते।