Il 23enne Bill Demirkapi ricercatore indipendente e white hat hacker, ha sviluppato un metodo per identificare le vulnerabilità su larga scala su Internet utilizzando fonti di dati non standard.
I risultati del lavoro sono stati presentati alla conferenza Def con di Las Vegas. Tra gli almeno 15.000 segreti rinvenuti (per “segreti” si intendono dati sensibili come password, chiavi API , token di autenticazione, ecc ..) c’erano centinaia di account associati alla Corte Suprema del Nebraska e ai suoi sistemi IT, nonché dati di accesso ai canali Slack dell’università di Stanford .
Di particolare interesse sono state le oltre mille chiavi API appartenenti ai clienti OpenAI. Tra le organizzazioni che hanno inavvertitamente esposto dati sensibili figurano un importante produttore di smartphone, clienti fintech e una società multimiliardaria di sicurezza informatica.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Demirkapi ha anche creato un sistema automatizzato che revoca i dati compromessi, rendendoli privi di valore per i potenziali aggressori.
La seconda area di ricerca riguardava le vulnerabilità dei siti web. L’hacker ha scoperto 66.000 siti con vulnerabilità in sottodomini non utilizzati (“dangling”). Tra le persone colpite figurano alcune delle proprietà web più grandi del mondo, compreso un dominio di prova di proprietà del New York Times.
Per dimostrare i pericoli dei sottodomini vulnerabili, Demirkapi ha condotto un esperimento. Ha pubblicato temporaneamente un articolo satirico sul dominio di prova del New York Times con il titolo provocatorio “Gli Stati Uniti dichiarano guerra alla Russia mentre le tensioni aumentano, inviando onde d’urto attraverso la comunità internazionale”. L’articolo è rimasto disponibile per circa una settimana. Questo esperimento ha mostrato chiaramente come le vulnerabilità possano essere sfruttate per diffondere disinformazione o effettuare attacchi di phishing.
Per trovare le chiavi segrete, il ricercatore si è rivolto a VirusTotal, un servizio di proprietà di Google che viene generalmente utilizzato per scansionare i file alla ricerca di malware. Utilizzando le regole Retrohunt e YARA, ha analizzato oltre 1,5 milioni di campioni alla ricerca di dati sensibili.
Per garantire che le chiavi e i segreti trovati fossero aggiornati, Demirkapi ha eseguito le richieste API. Ciò gli ha permesso di confermare che le informazioni scoperte erano ancora attive e potevano essere utilizzate dagli aggressori.
Per identificare i siti Web vulnerabili, l’esperto ha utilizzato i dati di replica DNS passiva. Di conseguenza, sono stati scoperti più di 78.000 servizi cloud non protetti associati a 66.000 domini di primo livello.
Alon Schindel, vicepresidente della ricerca sulle minacce informatiche presso Wiz, osserva che esiste un’enorme varietà di dati sensibili che gli sviluppatori possono inavvertitamente lasciare nel codice o rivelare durante il processo di creazione del software. Questi includono password, chiavi di crittografia, token di accesso API, segreti del provider cloud e certificati TLS. Schindel sottolinea che il pericolo principale è che la loro divulgazione possa fornire agli aggressori un accesso non autorizzato a basi di codice, database e altre infrastrutture digitali riservate.
Secondo Demirkapi, individuare i problemi è solo metà dell’opera. Ha anche adottato misure critiche per correggere i problemi riscontrati. Ad esempio, OpenAI ha segnalato più di 1.000 chiavi API esposte, dopodiché l’azienda ha fornito una chiave API pubblica per revocare automaticamente i dati compromessi.
Tuttavia, non tutte le aziende erano pronte a collaborare. GitHub e Amazon Web Services hanno negato l’accesso agli strumenti di reporting esistenti. Ciò ha costretto Demirkapi a trovare soluzioni alternative, incluso l’utilizzo di GitHub per caricare automaticamente i segreti per abilitare il sistema di scansione dei dati sensibili della piattaforma .
Daiping Liu, responsabile della ricerca senior presso Palo Alto Networks, afferma che il problema dei domini è diffuso. In ogni momento, decine di migliaia di documenti sono a rischio, ha affermato. Liu aggiunge che i domini più grandi potrebbero essere particolarmente vulnerabili a questo problema perché sono più difficili da gestire e sono più soggetti a errori umani. Questo spiega perché anche giganti come il New York Times potrebbero essere in pericolo.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cultura
Cybercrime
Cybercrime
Cultura
Cybercrime