Wenn Sie wissen, wo Sie suchen müssen, können Sie online viele Geheimnisse entdecken. Seit Herbst 2021 hat der unabhängige Sicherheitsforscher Bill Demirkapi Möglichkeiten entwickelt, riesige Datenquellen zu durchsuchen, die von Forschern oft übersehen werden, um eine Vielzahl von Sicherheitsproblemen zu finden. Dazu gehört das automatische Auffinden von Entwicklergeheimnissen (Passwörter, API-Schlüssel und Authentifizierungs-Tokens), die Cyberkriminellen Zugriff auf die Systeme von Unternehmen und die Möglichkeit zum Datendiebstahl ermöglichen könnten.
Heute enthüllt Demirkapi auf der Defcon-Sicherheitskonferenz in Las Vegas die Ergebnisse seiner Arbeit und beschreibt eine große Menge an durchgesickerten Geheimnissen und umfassendere Website-Schwachstellen. Unter mindestens 15.000 fest in Software einprogrammierten Entwicklergeheimnissen fand er Hunderte von Benutzernamen- und Passwortdetails, die mit dem Obersten Gerichtshof von Nebraska und seinen Computersystemen in Verbindung standen; Details, die für den Zugriff auf die Slack-Kanäle der Stanford University erforderlich sind; und über tausend API-Schlüssel von OpenAI-Kunden.
Ein großer Smartphone-Hersteller, Kunden eines Fintech-Unternehmens und ein milliardenschweres Cybersicherheitsunternehmen gehören zu Tausenden von Organisationen, die versehentlich Geheimnisse preisgegeben haben. Als Teil seiner Bemühungen, die Flut einzudämmen, entwickelte Demirkapi eine Möglichkeit, die Informationen automatisch zu widerrufen und sie so für Hacker unbrauchbar zu machen.
In einem zweiten Teil der Studie analysierte Demirkapi außerdem Datenquellen, um 66.000 Websites mit offenen Subdomain-Problemen zu finden, die sie für verschiedene Angriffe, einschließlich Hacking, anfällig machen. Einige der weltweit größten Websites, darunter eine Entwicklungsdomäne der New York Times, wiesen diese Schwächen auf.
Obwohl die beiden von ihm untersuchten Sicherheitsprobleme den Forschern gut bekannt sind, sagt Demirkapi, dass die Verwendung unkonventioneller Datensätze, die normalerweise für andere Zwecke reserviert sind, dazu beigetragen hat, Tausende von Problemen massenhaft zu identifizieren, und dass sie, wenn sie erweitert werden, das Potenzial bieten, zum Schutz des Internets beizutragen ein Ganzes. „Das Ziel bestand darin, Wege zu finden, um triviale Klassen von Schwachstellen in großem Maßstab zu entdecken“, sagt Demirkapi gegenüber WIRED. „Ich denke, es mangelt an kreativen Lösungen. »
Geheimnisse enthüllt; anfällige Websites
Für einen Entwickler ist es relativ leicht, versehentlich die Geheimnisse seines Unternehmens in Software oder Code einzubinden. Alon Schindel, Vizepräsident für KI und Bedrohungsforschung bei Wiz, einem Cloud-Sicherheitsunternehmen, erklärt, dass es eine Vielzahl von Geheimnissen gibt, die Entwickler während des Softwareentwicklungsprozesses fest codieren oder versehentlich preisgeben können. Dazu können Passwörter, Verschlüsselungsschlüssel, API-Zugriffstoken, Geheimnisse von Cloud-Anbietern und TLS-Zertifikate gehören.
„Das größte Risiko, Geheimnisse fest codiert zu lassen, besteht darin, dass, wenn Anmeldeinformationen und digitale Geheimnisse preisgegeben werden, sie Angreifern unbefugten Zugriff auf Codebasen, Datenbanken und andere sensible digitale Infrastrukturen eines Unternehmens gewähren können“, erklärt Schindel.
Die Risiken sind hoch: Offengelegte Geheimnisse können zu Datenschutzverletzungen, Hacks und Angriffen auf die Lieferkette führen, fügt Schindel hinzu. Frühere Untersuchungen im Jahr 2019 ergaben, dass täglich Tausende von Geheimnissen auf GitHub preisgegeben werden. Und obwohl es verschiedene geheime Scan-Tools gibt, konzentrieren sie sich in erster Linie auf bestimmte Ziele und nicht auf das breitere Internet, sagt Demirkapi.
Bei seinen Recherchen suchte Demirkapi, der vor fünf Jahren durch Hackerangriffe in der Schule bekannt wurde, im großen Stil nach diesen geheimen Schlüsseln, anstatt ein Unternehmen auszuwählen und gezielt nach dessen Geheimnissen zu suchen. Zu diesem Zweck wandte er sich an VirusTotal, die Google-eigene Website, auf der Entwickler Dateien, beispielsweise Apps, hochladen und auf Malware scannen lassen können.