A megbízhatatlanban való megbízás problémája

Szerző: | jan 18, 2024

Napjainkban egyre több cég és egyén automatikusan bízik meg a nagyvállalatok által kifejlesztett szoftverekben. Azonban a vakon megbízás súlyos biztonsági problémákat hagyhat figyelmen kívül, ami veszélyezteti a személyes adatvédelmet és a kulcsfontosságú üzleti titkokat egyaránt.

Vészhelyzet a legátfogóbb AI-alapú biztonsági fejlesztői platformon

Napjainkban egyre több cég és egyén automatikusan bízik meg a nagyvállalatok által kifejlesztett szoftverekben. Azonban a vakon megbízás súlyos biztonsági problémákat hagyhat figyelmen kívül, ami veszélyezteti a személyes adatvédelmet és a kulcsfontosságú üzleti titkokat egyaránt.

A GitLab és ügyfelei totális kiszolgáltatottsága

A GitLab platform két kritikus biztonsági rését fedezték fel, amelyek közül az egyik lehetővé tette az fiókok átvételét anélkül, hogy a felhasználónak bármilyen interakcióra lett volna szüksége.

Ezt a hibát a CVE-2023-7028 kóddal jelölték, és a legmagasabb, 10.0-s súlyossági pontszámot kapta a CVSS rendszerben. 

A hiba különösen azért veszélyes, mert minden önkiszolgáló GitLab Community Edition (CE) és Enterprise Edition (EE) verziót érint.

A GitLab olyan nagyvállalatok számára biztosít platformot, mint a T-Mobile, Lockheed Martin, Airbus, Goldman Sachs, és NVIDIA.

Ezek a vállalatok fejlesztési adatainak kiszivárgása nemcsak saját üzleti titkaikat veszélyezteti, hanem az ipari kémkedés melegágyává is válhat.

A hosszútávú biztonságos szoftverhasználat a tét

A GitLab felhasználói, beleértve az említett nagyvállalatokat, komoly biztonsági kockázatoknak vannak kitéve.

A fiókok eltulajdonítása vagy az abból történő adatszivárgás közvetlenül befolyásolhatja a fejlesztési folyamatokat, az üzleti stratégiákat és a szellemi tulajdont. Egy-egy komolyabb fejlesztés hosszú évekig tart. Ha egy szolgáltatás idő előtt kiszivárog, akkor azt a konkurencia felhasználhatja a saját megoldásainak fejlesztésére, és akár a céget is csődbe viheti egy megfelelően erős konkurens megoldás, ami hamarabb vagy kedvezőbb áron érhető el – hiszen a fejlesztés nagy részét a másik cég végezte. 

A végfelhasználók, akik ezeknek a vállalatokkal a programjaival dolgoznak, vagy a GitLab platformját használják, szintén kiszolgáltatottá válhatnak. Az adatszivárgás vagy a fiókok átvétele által okozott biztonsági kockázatok komoly hatással lehetnek a munkájukra és magánéletükre.

Ezen kockázatok közé tartozik az érzékeny információk elvesztése, az üzleti titkok kiszivárgása, és az adathalász támadások fokozott kockázata. A biztonsági rések által kiszolgáltatott helyzetbe kerülő felhasználók számára a probléma súlyos hatással lehet a hírnevükre és üzleti kapcsolataikra.

Hogy lássuk a probléma nagyságát, tekintsünk rá, mit képvisel a néhány megemlített cég:

T-Mobile

A T-Mobile egy vezető telekommunikációs vállalat, amely létfontosságú mobilhálózati szolgáltatásokat és kommunikációs technológiákat nyújt a világszerte több millió ügyfél számára. Az innovatív és megbízható hálózati megoldásaikkal kulcsszerepet játszanak a modern kommunikáció és digitális kapcsolatok fenntartásában.

Lockheed Martin

Az amerikai hadsereg egyik kiemelt beszállítójaként a Lockheed Martin a védelmi ipar egyik legmeghatározóbb szereplője. Ők felelősek számos kritikus katonai technológia, köztük vadászgépek, rakéták és védelmi rendszerek fejlesztéséért és gyártásáért, amelyek nélkülözhetetlenek az amerikai és szövetséges hadseregek számára.

Airbus

Az Airbus az egyik vezető nemzetközi repülőgép-gyártó cég, amely kulcsfontosságú szerepet játszik a légiközlekedési iparban. A cég innovatív repülőgépei, amelyek közé tartoznak az utasszállítók és a katonai légi járművek, létfontosságúak a globális utazás és szállítás számára. Emellett anyacégként közvetlen ráhatása van a StormShield-re. 

StormShield

A StormShield egy vezető európai informatikai biztonsági vállalat, amely széles körű védelmi megoldásokat kínál a kiberfenyegetések ellen. A vállalat különösen elismert a kormányzati és katonai szervezetek, valamint a kritikus infrastruktúrákat üzemeltető vállalatok számára nyújtott magas szintű biztonsági megoldásaiért. A StormShield termékei, beleértve a tűzfalakat, végponti védelmet és hálózati biztonsági rendszereket, kulcsfontosságúak az adatok, kommunikációs csatornák és rendszerek védelmében, így biztosítva a szervezetek és intézmények biztonságát a növekvő kiberfenyegetésekkel szemben. 

Goldman Sachs

A Goldman Sachs a pénzügyi szektor egyik legbefolyásosabb szereplője, amely fontos szolgáltatásokat nyújt a befektetési banki tevékenységektől kezdve a vagyonkezelésig. A cég döntései és stratégiái jelentős hatással vannak a globális pénzügyi piacokra és gazdasági trendekre.

NVIDIA

Az NVIDIA a számítástechnikai ipar egyik úttörője, amely forradalmasította a grafikus processzorok (GPU-k) területét. Az NVIDIA GPU-k és mesterséges intelligencia technológiái kritikus szerepet játszanak a modern számítástechnikában, a videojátékoktól kezdve a komplex adatelemzésen és gépi tanuláson át az önvezető autók fejlesztéséig.

 

És ez csak a jéghegy csúcsa, mivel a GitLab szolgáltatását számos olyan cég használja, aki most teszi le a névjegyét a jövő megoldásaihoz. Ezekbe a szolgáltatásokba beépülni, vagy ezeket a szolgáltatásokat megbénítani minden komolyabb hacker csapat – és az őket támogató állam vagy cég – álma lenne.

Nincs nálunk a Bölcsek Köve, de …

Fehérkalapos hacker és IT üzemeltetési szakértőként bizton állíthatom, hogy megfelelő előkészítés után nagyságrendi szinteket lehet emelni egy cég informatikai biztonsági ellenálló képességén. De ehhez valóban szükséges egy átfogó audit, vagy inkább ahogy mi hívjuk: IT biztonsági sérülékenységvizsgálat.

Általánosságban érdemes az alábbiakat komolyan véve működnie a cégeknek

♦ A túlzott megbízhatóság problémájának megelőzésére ajánlott a vállalatoknak és egyéneknek alaposan utánajárni a használni kívánt szoftverek biztonsági jellemzőinek.

♦ Fontos, hogy rendszeresen frissítsék a használt szoftvereket, és telepítsék a biztonsági javításokat.

♦ A kétlépcsős hitelesítés (2FA) bevezetése jelentősen növelheti a fiókok biztonságát, bár számos esetben lehet olyan külső modul, ami ezt megkerülve okoz nagy bajt – lásd a Google fiókok esete legutóbb.

♦ A vállalatoknak érdemes lehet saját biztonsági auditokat végezniük, és független IT biztonsági szakértőkkel sérülékenységvizsgálatot végeztetni.

♦ Végül, de nem utolsósorban a jelentős kockázattal bíró vállalatoknak érdemes olyan megbízható üzemeltetési szerződést kötnie, ahol gondoskodnak a legfrissebb biztonsági fenyegetések megismeréséről, és a legjobb kockázatcsökkentési gyakorlat bevezetéséről.

Ha céged szeretnéd biztonságban tudni, keress minket>>