Alerte du mois : Un dépôt de code qui tourne mal

Récemment, CybelAngel a été confronté à l'un des types de fuite de données les plus dangereux : le code source d'un dépôt accidentellement exposé. Les dépôts de code, le plus souvent GitHub, sont des outils incroyables pour les ingénieurs, les architectes de systèmes et les développeurs, qui peuvent ainsi écrire, tester et publier du code en production. En créant un dépôt avec les identifiants de leur entreprise, les employés peuvent accéder à leur projet de codage et y travailler n'importe où et n'importe quand, tant qu'ils disposent d'un accès à l'internet. Mais le simple fait de dire "code" ne couvre pas toute l'étendue des informations disponibles. Les référentiels permettent d'écrire, de tester et de publier du code en production. Des informations telles que la logique, les fonctions, les identifiants, les appels API, les ensembles de données pour les services internes et externes, les jetons, etc. sont disponibles. Dans certains cas, des clés d'API et des jetons codés en dur sont disponibles. L'accumulation d'actifs numériques critiques est précisément ce qui rend les référentiels de code exposés si dangereux. Un seul dépôt peut contenir toutes les informations nécessaires pour orchestrer une violation massive de données, un ransomware ou d'autres cyberattaques. Nos clients s'appuient sur la solution Data Breach Prevention de CybelAngel pour localiser les dépôts de code inconnus et exposés sur des plateformes telles que GitHub. Récemment, notre analyste a trouvé un tel dépôt, et il a frappé un grand coup. Dans un dépôt public personnel créé à l'aide des identifiants de son entreprise, un développeur a stocké des jetons d'accès à son logiciel de gestion de la relation client, y compris les identifiants de plusieurs environnements de développement, de test et d'exploitation. Outre l'accès que les acteurs de la menace pourraient obtenir à partir des informations d'identification exposées, plusieurs données sensibles étaient disponibles, notamment des IIP, des codes PIN, des informations sur les comptes bancaires, des documents confidentiels et des données personnelles. Les informations d'identification qui donnent accès au "lac de données" de l'entreprise et à ses efforts en matière de gouvernance, de risque et de conformité sont probablement les plus préoccupantes. Le fait que ces données soient exposées publiquement ouvre la voie à des enquêtes de la SEC et à des amendes. Si les acteurs de la menace étaient tombés sur ce référentiel, ils auraient eu tout ce dont ils avaient besoin pour faire du spear phishing, pénétrer le réseau, voler la propriété intellectuelle, commettre des fraudes ou des vols. Tous ces risques ont été créés par un seul acte de négligence involontaire. Nos analystes soupçonnent que le propriétaire du référentiel ignorait qu'il était public. Après avoir enquêté sur cette violation de l'application en nuage, notre équipe d'analystes a informé nos clients et a élaboré un plan de remédiation. La remédiation d'une fuite, quelle qu'elle soit, nécessite plusieurs étapes. Avec autant d'actifs potentiellement dangereux exposés, différentes stratégies étaient nécessaires. Les informations d'identification exposées ont exposé nos clients à un trop grand nombre de cybermenaces pour pouvoir les énumérer, aussi notre première recommandation a-t-elle été de modifier toutes les informations d'identification exposées pour les rendre inutiles. L'étape suivante consistait à supprimer le référentiel, soit en le fermant, soit en le rendant privé. Dans le cas d'un dépôt de code, il ne suffit pas d'effacer les données sensibles, car la plateforme conserve un historique de toutes les modifications passées. Vous devez soit localiser le propriétaire pour qu'il effectue les changements nécessaires, soit travailler directement avec la plateforme. Travailler avec le propriétaire est généralement plus rapide et devrait être la première option. Bien que cet incident concerne une fuite particulièrement dense et dangereuse, cette histoire est assez courante. Presque toutes les organisations ont besoin de tels dépôts de code, ce qui rend ce risque omniprésent. C'est pourquoi les entreprises bénéficient de services de protection contre les risques numériques tels que la prévention des violations de données de CybelAngel. Notre analyse complète d'Internet permet de localiser les fuites de données de tous les référentiels de code GitHub publics, des espaces de stockage dans le cloud et des bases de données exposées. Cela nous permet de localiser les risques liés aux tiers et d'informer nos clients avant que les acteurs de la menace ne les ciblent. En recherchant ces fuites de manière proactive, vous protégez votre entreprise, vos clients et vos employés en une seule fois.