به گزارش کارگروه بینالملل سایبربان؛ پلیس فدرال آمریکا طی هشداری اعلام کرد هکرها با سوءاستفاده از تنظیمات نادرست اپلیکیشن های سونارکیوب (SonarQube) کد منبعهای سازمانهای دولتی و شرکتهای خصوصی در آمریکا را به سرقت بردهاند.
در اطلاعیه پلیس فدرال آمریکا که اخیراً در وبسایت این نهاد منتشر شد آمده:
این نفوذها دستکم از ماه آوریل سال 2020 صورت گرفته است.
این اطلاعیه بهویژه هشداری برای مالکان اپلیکیشن سونارکیوب است. سونارکیوب یک برنامه تحت وب است که نهادهای دولتی و خصوصی در مراحل تولید یک نرمافزار به کار میگیرند تا قبل از نهایی شدن کد منبع نرمافزار را امتحان کرده و نقصهای امنیتی موجود در آن را بررسی میکنند.
اپلیکیشن های سونارکیوب روی سرورهای وب نصب میشوند و به سیستمهای میزبانِ کد منبع نظیر حسابهای BitBucket, GitHub, GitLab یا سیستمهای Azure DevOps متصل میشوند.
بااینحال پلیس فدرال آمریکا میگوید برخی نهادها این سیستمها را در حالت ناامن رها کرده و این سیستمها با پیکربندی و اعتبارنامه پیشفرض در حال کار کردن هستند.
به گفته پلیس فدرال آمریکا، هکرها با سوءاستفاده از این تنظیمات نادرست به دادههای موجود در اپلیکیشن های سونارکیوب دسترسی پیداکرده و از این طریق به انباری از کد منبع دستیافته، سپس اطلاعات برنامههای مهم و خصوصی نهادها و شرکتها را به سرقت بردهاند.
یک محقق امنیتی سوئیسی به نام تیل کاتمن (Till Kottmann) که دهها کد منبع از شرکتهای فنآوری را از یک پورتال عمومی جمعآوری کرده در این خصوص خاطرنشان کرد:
بیشتر کاربران سونارکیوب تنظیمات این اپلیکیشن را تغییر نمیدهند. من از تعداد فعلی نمونههای آسیبپذیر برنامه سونارکیوب مطلع نیستم؛ اما حدس میزنم بیش از 1 هزار سرور به دلیل عدم استفاده از فرآیند احراز هویت و استفاده از اعتبارنامههای پیشفرض در این اپلیکیشن، در معرض خطر قرار دارند.
