اختر منطقتك 
حالة الطقس 
إذا كنت تعرف أين تبحث، فستجد الكثير من الأسرار على الإنترنت. فمنذ خريف عام 2021، كان الباحث الأمني المستقل بيل ديميركابي يعمل على بناء طرق للاستفادة من مصادر البيانات الضخمة، والتي غالبًا ما يتجاهلها الباحثون، للعثور على كميات هائلة من مشكلات الأمان. ويشمل ذلك العثور تلقائيًا على أسرار المطورين – مثل كلمات المرور ومفاتيح واجهة برمجة التطبيقات ورموز المصادقة – والتي قد تمنح مجرمي الإنترنت إمكانية الوصول إلى أنظمة الشركة والقدرة على سرقة البيانات.
اليوم، في مؤتمر ديفكون للأمن في لاس فيجاس، يكشف ديميركابي عن نتائج هذا العمل، حيث يشرح بالتفصيل مجموعة ضخمة من الأسرار المسربة وثغرات أوسع نطاقًا في مواقع الويب. ومن بين ما لا يقل عن 15000 سر من أسرار المطورين مبرمجة في البرامج، وجد مئات من تفاصيل اسم المستخدم وكلمة المرور المرتبطة بالمحكمة العليا في نبراسكا وأنظمة تكنولوجيا المعلومات الخاصة بها؛ والتفاصيل اللازمة للوصول إلى قنوات Slack التابعة لجامعة ستانفورد؛ وأكثر من ألف مفتاح واجهة برمجة تطبيقات تابعة لعملاء OpenAI.
تعد شركة تصنيع هواتف ذكية كبرى، وعملاء شركة تكنولوجيا مالية، وشركة أمن سيبراني بمليارات الدولارات من بين آلاف المنظمات التي كشفت عن أسرار عن غير قصد. وكجزء من جهوده لوقف هذا المد، ابتكر ديميركابي طريقة لإلغاء التفاصيل تلقائيًا، مما يجعلها عديمة الفائدة لأي متسلل.
وفي مسار ثانٍ من البحث، قام ديميركابي أيضًا بمسح مصادر البيانات للعثور على 66000 موقع ويب يعاني من مشكلات في النطاقات الفرعية، مما يجعلها عرضة لهجمات مختلفة بما في ذلك الاختطاف. وكانت بعض أكبر مواقع الويب في العالم، بما في ذلك نطاق تطوير مملوك لصحيفة نيويورك تايمز، تعاني من نقاط الضعف.
ورغم أن المشكلتين الأمنيتين اللتين بحث فيهما معروفتان بين الباحثين، يقول ديميركابي إن اللجوء إلى مجموعات البيانات غير التقليدية، والتي عادة ما تكون مخصصة لأغراض أخرى، سمح بتحديد آلاف المشكلات بشكل جماعي، وإذا تم توسيعها، فإنها توفر إمكانية المساعدة في حماية الويب على نطاق واسع. ويقول ديميركابي لمجلة WIRED: “كان الهدف هو إيجاد طرق لاكتشاف فئات الثغرات البسيطة على نطاق واسع. أعتقد أن هناك فجوة في الحلول الإبداعية”.
أسرار مسربة؛ مواقع ويب معرضة للخطر
من السهل نسبيًا أن يقوم مطور عن طريق الخطأ بتضمين أسرار شركته في برنامج أو كود. يقول ألون شيندل، نائب رئيس قسم الذكاء الاصطناعي وأبحاث التهديدات في شركة Wiz للأمن السحابي، إن هناك مجموعة كبيرة ومتنوعة من الأسرار التي يمكن للمطورين تضمينها عن غير قصد أو الكشف عنها طوال خط أنابيب تطوير البرامج. يمكن أن تشمل هذه الأسرار كلمات المرور ومفاتيح التشفير ورموز وصول واجهة برمجة التطبيقات وأسرار مزود الخدمة السحابية وشهادات TLS.
يقول شيندل: “إن الخطر الأكثر حدة في ترك الأسرار مشفرة بشكل ثابت هو أنه إذا تم الكشف عن بيانات اعتماد المصادقة الرقمية والأسرار، فقد يمنح ذلك الخصوم إمكانية الوصول غير المصرح به إلى قواعد بيانات الشركة وقواعد البيانات والبنية التحتية الرقمية الحساسة الأخرى”.
ويضيف شيندل أن المخاطر عالية: فقد تؤدي الأسرار المكشوفة إلى خروقات للبيانات، واختراق المتسللين للشبكات، وهجمات سلسلة التوريد. ووجد بحث سابق في عام 2019 أن آلاف الأسرار كانت تُسرب على GitHub كل يوم. ويقول ديميركابي إنه في حين توجد أدوات مختلفة لفحص الأسرار، إلا أن هذه الأدوات تركز إلى حد كبير على أهداف محددة وليس على شبكة الإنترنت الأوسع.
خلال بحثه، بحث ديميركابي، الذي ذاع صيته لأول مرة بسبب اختراقه لمدارس المراهقين قبل خمس سنوات، عن هذه المفاتيح السرية على نطاق واسع ــ بدلاً من اختيار شركة والبحث على وجه التحديد عن أسرارها. وللقيام بذلك، لجأ إلى موقع VirusTotal، المملوك لشركة جوجل، والذي يسمح للمطورين بتحميل الملفات ــ مثل التطبيقات ــ وفحصها بحثاً عن البرامج الضارة المحتملة.
