🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
الفئة: استخبارات الخصم
الصناعة: الحكومة
التحفيز:السمعة
البلد: الهند
مصدر*:
C: موثوقة إلى حد ما؛
3: ربما صحيح
ملخص تنفيذي
تهديد
- تمت مشاركة الكود المصدري لموقع الحكومة الهندية مجانًا.
- في منشور متابعة، تم استخدام حقن SQL للحصول على 10 آلاف سجل من نقطة نهاية API ضعيفة ومشاركتها مجانًا بواسطة TA.
تأثير
- يمكن أن تؤدي عينة مجموعة البيانات إلى الاستحواذ الكامل على الحساب.
- يمكن أن تمنح شفرة المصدر المهاجمين فهم منطق موقع الويب للهجمات الإلكترونية المصممة جيدًا.
- سيزود الجهات الفاعلة الخبيثة بالتفاصيل المطلوبة لاستخراج البيانات والحفاظ على الثبات.
تخفيف
- قم بتصحيح نقاط النهاية الضعيفة والقابلة للاستغلال.
- راقب منتديات الجرائم الإلكترونية للحصول على أحدث التكتيكات التي تستخدمها الجهات الفاعلة في مجال التهديد.
التحليل والإسناد
معلومات من البريد
في 20 أغسطس 2023، كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشف عامل تهديد (TA) يشارك الكود المصدري لـ iRAD (قاعدة بيانات حوادث الطرق المتكاملة) - https://irad.parivahan.gov.in/- وهي مبادرة من وزارة النقل البري والطرق السريعة (MoRth)، وحكومة الهند ويمولها البنك الدولي، بهدف تحسين السلامة على الطرق في البلاد - في منتدى سري للجرائم الإلكترونية.
تحليل شفرة المصدر
تمكن مصدرنا من الحصول على الكود المصدري، الذي يبلغ حجمه الإجمالي 165 ميغابايت. تتم كتابة معظم التعليمات البرمجية بلغة PHP.
لقد وجدنا العديد من الأصول الحساسة المضمنة في الكود. يحتوي الرمز على أسماء المضيفين وأسماء قواعد البيانات وكلمات المرور. كانت أسماء المستخدمين وكلمات المرور المستخدمة في الكود المصدري بسيطة للغاية ويمكن أن تكون عرضة لهجمات القوة الغاشمة مع الوصول المحلي إلى الخادم.
لاحظنا أن شفرة المصدر تتضمن إشارات إلى sms.gov.in، وهي بوابة NIC SMS التي تمكن الإدارات الحكومية من دمج وإرسال الرسائل القصيرة التي تركز على المواطن إلى المواطنين الهنود. بالإضافة إلى ذلك، يتضمن عنوان URL المضمن في شفرة المصدر حقولًا لاسم المستخدم وكلمة المرور، والتي، في حالة إساءة استخدامها، قد تمنح الأفراد غير المصرح لهم عن غير قصد القدرة على إرسال رسائل إلى المستلمين.
مشاركة المتابعة من قبل ممثل التهديد
في 07 أغسطس 2023، نشر نفس ممثل التهديد منشورًا آخر يشارك فيه عينة من مجموعة بيانات تضم 10 آلاف مستخدم لموقع الويب. يشير المنشور أيضًا إلى أنه تم استخدام حقن SQL للحصول على البيانات من نقطة نهاية API الضعيفة والتي لا تزال متاحة وقت كتابة التقرير.
تحليل البيانات
- وفقًا لمطالبات الإعلان، تحتوي مجموعة البيانات النموذجية على قائمة تضم 10,000 سجل مستخدم مع معلومات المستخدم الحساسة.
- يحتوي العنوان على معرف، معرف office_id، الاسم، البريد الإلكتروني، regno، نشط، الهاتف المحمول، ps_code، الملاحظات، كلمة المرور، اسم المستخدم، تم إنشاؤه بواسطة، رمز القسم، رمز الدور، رمز الولاية، التسمية، تاريخ_الإنشاء، كلمة المرور القديمة، كلمة المرور_enc، رمز المقاطعة، البريد الإلكتروني_الذي تم التحقق منه، mobile_verified.
- يمكن لمصدرنا التحقق من بعض أرقام الهواتف المحمولة والأسماء المذكورة في نموذج مجموعة البيانات مقابل Truecaller وتطابقها.
- تحتوي بيانات العينة أيضًا على معرفات البريد الإلكتروني للمسؤولين الحكوميين وكلمات مرور نصية واضحة.
التأثير والتخفيف
ما هو تأثير تسرب البيانات هذا؟
- يمكن استخدام المعلومات المسربة للوصول الأولي إلى البنية التحتية للموقع.
- إذا لم تكن كلمات المرور المسربة مشفرة، فقد يؤدي ذلك إلى تمكين عمليات الاستحواذ على الحساب.
- قد تؤدي كلمات المرور الشائعة الاستخدام أو كلمات المرور الضعيفة إلى هجمات القوة الغاشمة.
- ومن شأن ذلك أن يزود الجهات الفاعلة الخبيثة بالتفاصيل المطلوبة لاستخراج البيانات والحفاظ على الثبات.
كيف يمكنك التخفيف؟
- قم بتطبيق سياسة كلمة مرور قوية وتمكين MFA (المصادقة متعددة العوامل) عبر عمليات تسجيل الدخول.
- قم بتصحيح نقاط النهاية الضعيفة والقابلة للاستغلال.
- راقب الحالات الشاذة في حسابات المستخدمين، والتي قد تشير إلى عمليات استحواذ محتملة للحساب.
- قم بمسح المستودعات لتحديد بيانات الاعتماد والأسرار المكشوفة.
المراجع
