🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
Back
قصص نجاح CloudSek
كيف منعت Svigil اختراقًا كبيرًا لسلسلة التوريد في البنية التحتية المصرفية؟
في النظام المالي الحالي شديد الترابط، يمكن لمورد واحد مخترق أن يعرض أمن البنية التحتية المصرفية بأكملها للخطر. كشفت منصة Svigil التابعة لـ CloudSek عن بيانات اعتماد مكشوفة تنتمي إلى مزود اتصالات رئيسي تابع لجهة خارجية، مما يعرض الملايين من الائتمان التشغيلي وبيانات العملاء الحساسة والبنية التحتية السحابية الحيوية للخطر. لم يحبط هذا الاكتشاف في الوقت الفعلي اختراقًا واسع النطاق فحسب، بل سلط الضوء أيضًا على الفجوات الصارخة في ضوابط الوصول إلى السحابة وتنفيذ MFA والنظافة الأمنية للبائعين. تعمق في دراسة الحالة هذه لفهم كيف حولت Svigil كارثة إلكترونية محتملة إلى قصة المرونة والاستجابة السريعة.
March 27, 2025
3
min
Table of Content
Subscribe to CloudSEK Resources
Get the latest industry news, threats and resources.
تعتمد المؤسسات المالية على موردي الطرف الثالث لمنصات التواصل ومشاركة العملاء، ولكن هذه التبعيات يمكن أن تؤدي بهدوء إلى مخاطر خطيرة للأمن السيبراني. كشفت منصة مراقبة سلسلة التوريد التابعة لـ CloudSek، Svigil، عن أوراق اعتماد مكشوفة تنتمي إلى مورد رئيسي لكيان مصرفي كبير. منحت بيانات الاعتماد هذه إمكانية الوصول إلى بوابة اتصالات مركزية، مما يعرض بيانات العملاء الحساسة وتسجيلات المكالمات والبنية التحتية السحابية الهامة.
مكّن اكتشاف Svigil في الوقت المناسب من التخفيف الاستباقي للمخاطر، ومنع إساءة استخدام التكوينات السحابية الحساسة والملايين من الائتمان التشغيلي - مما أدى إلى حماية البنية التحتية وثقة العملاء.
ذا ديسكفري
أثناء الفحص المستمر للتهديدات المتعلقة بالموردين، اكتشفت منصة Svigil الخاصة بـ CloudSek بيانات اعتماد مخترقة تنتمي إلى موظفي مزود خدمة اتصالات تابع لجهة خارجية. منحت بيانات الاعتماد هذه إمكانية الوصول إلى البوابة المركزية، وهي واجهة حيوية تستخدم لتنسيق الحملة وعمليات مركز الاتصال وتكوين البنية التحتية السحابية.
أدى الوصول المكشوف إلى اكتشاف خرق خطير للبيانات يؤثر على الكيانات المصرفية البارزة، بما في ذلك الوصول إلى الأنظمة الهامة والبيانات الحساسة الخاصة بـ EntityBank المصرفي الرئيسي. وقد أدى الاختراق إلى تعطيل العمليات وسرقة البيانات والتواصل غير المصرح به مع العملاء.
النتائج الرئيسية
المنصة المتأثرة: البوابة المركزية لمزود خدمة الاتصالات
الوحدات المكشوفة: التدفقات، الحملات، إشعارات الطوارئ، التقارير، الإعداد، الحسابات السحابية
التعرض الحرج:
- 3 مليون دولار أمريكي في رصيد الائتمان.
- بيانات اعتماد لـ 32 حسابًا للخدمة السحابية عبر AWS وGCP وAzure.
- حسابات خدمة GCP ذات الامتيازات المرتفعة (أدوار المالك/المحرر).
- الوصول إلى تسجيلات المكالمات والنصوص الحساسة.
- القدرة على إرسال رسائل نصية مجمعة/بريد إلكتروني إلى أكثر من 50 ألف مستخدم.
التحليل الفني
مصدر أوراق الاعتماد: تفريغ بيانات الاعتماد على الويب المظلم.
ميزات ومخاطر البوابة:
- نظرة عامة على لوحة التحكم: يعرض المقاييس الخاصة بالمكالمات الواردة/الواردة والرسائل القصيرة ورسائل البريد الإلكتروني.
- وحدة قوائم انتظار المكالمات: يقوم بتوجيه المكالمات إلى الوكلاء. يمكن أن يسمح الوصول الضار بإعادة التوجيه إلى مراكز الاتصال الاحتيالية.
- الوكلاء الديناميكيون: إضافة/إدارة وكلاء. يتيح الاختراق هنا التلاعب الكامل بعمليات مركز الاتصال.
- تدفقات الحملة: قم بتكوين تدفقات الاتصالات مثل IVR وأجهزة الاتصال التلقائي.
- الحسابات السحابية: تم العثور على بيانات اعتماد لـ 32 حسابًا سحابيًا. كشفت أدوات المطور عن ملفات حساسة مثل client.json باستخدام مفاتيح خدمة GCP.
- خطر إساءة الاستخدام: تتمتع أربعة حسابات بإمكانية الوصول على مستوى المالك وواحدة على مستوى المحرر. يمكن للجهات الخبيثة سرقة البيانات الحساسة أو حذفها والتلاعب بالبنية التحتية.
حسابات خدمة GCP المكشوفة (أمثلة):
- الرسائل القصيرة التي تم التحقق منها بواسطة برنامج المورد
- pcpl-تحويل الكلام إلى نص
- انقر للاتصال
- وسط أوسبوك
- عامل الاختبار -1-MRDMLR
عينات من حاوية تخزين pcpl-تحويل الكلام إلى نص:
- تسجيلات المكالمات الحساسة (على سبيل المثال، مناقشات القروض وطلبات حظر بطاقات الخصم).
- النصوص المرتبطة المخزنة في نص عادي.
تأثير الأعمال
- أوراق اعتماد الموظف المكشوفة: استفادت الجهات الفاعلة في مجال التهديد من بيانات الاعتماد المسربة للحصول على وصول غير مصرح به إلى الأنظمة الداخلية ولوحات المعلومات.
- الوصول غير الآمن إلى التخزين السحابي: تم ترك الأصول الحساسة مثل تسجيلات المكالمات والنصوص مكشوفة في مجموعات السحابة دون ضوابط وصول مناسبة.
- إساءة استخدام حساب الخدمة المميزة: كان من الممكن الوصول إلى حسابات خدمة GCP ذات الامتيازات العالية، مما زاد من احتمالية تسرب البيانات واختراق البنية التحتية.
- يتيح فشل EDR الوصول غير المصرح به: فشلت حلول اكتشاف نقطة النهاية والاستجابة لها (EDR) في اكتشاف أنماط الوصول غير الطبيعية، مما يسمح بنشاط فاعل التهديد المستمر.
- يزيد عدم وجود MFA من مخاطر هجوم الاعتماد: أدى غياب المصادقة متعددة العوامل (MFA) على بوابة المورد إلى زيادة مخاطر الهجمات الناجحة القائمة على بيانات الاعتماد.
توصيات الأمان الخاصة بـ Svigil
- إلغاء فوري لبيانات الاعتماد: يجب إلغاء جميع بيانات اعتماد الموظفين المكشوفة على الفور لمنع الوصول غير المصرح به.
- تعزيز تكوينات أمان السحابة: قم بتأمين موارد السحابة من خلال تطبيق سياسات قوية للتحكم في الوصول وإزالة بيانات الاعتماد المشفرة وتشفير الملفات الحساسة.
- تشديد ضوابط الوصول إلى السحابة: مراجعة أدوار IAM السحابية وتقييدها؛ وتقليل استخدام الأدوار ذات الامتيازات العالية مثل المالك أو المحرر.
- نشر EDR لمنع الثبات غير المصرح به: تأكد من وجود نظام EDR قوي لاكتشاف وحظر والتنبيه بشأن سلوك المستخدم المشبوه والوصول غير الطبيعي.
- المصادقة الثنائية الإلزامية عبر جميع البوابات الحساسة: قم بفرض المصادقة متعددة العوامل لجميع المستخدمين الذين يصلون إلى البنية التحتية الحساسة ولوحات المعلومات لتقليل احتمالية إساءة استخدام بيانات الاعتماد.
هانسيكا ساكسينا
Subscribe to CloudSEK Resources
Get the latest industry news, threats and resources.
.jpg)