据Defense.com的网络安全研究人员称,由于开源开发工具 Git 中的漏洞,约有 332,000 个网站暴露在不良行为者面前。
据TechRadar报道,在这些网站中,有 2,500 个与不同国家的 .gov 域相关联,使各种组织面临在线攻击和恶意使用数据的风险。
研究人员声称,该漏洞的出现与其说是由于 Git 的问题,不如说是由于用户没有使用适当的防病毒协议保护他们的文件。由于开源工具的性质是任何程序的最基本代码,如果不加以保护,它们很容易被篡改。在这种情况下,黑客可以访问文件夹并从政府机构下载数据。
“开源技术总是存在潜在的安全漏洞,植根于可公开访问的代码。但是,这种级别的漏洞是不可接受的,”Defense.com 首席执行官 Oliver Pinson-Roxburgh 告诉TechRadar 。
他补充说,英国政府是其域名暴露的组织之一,应该“监控他们的系统并立即采取措施补救风险”。
Defense.com 的研究人员进一步解释说,文件夹中的单个文件可以包含完整代码库历史的数据,包括“以前的代码更改、注释、安全密钥,以及包含机密和带有纯文本密码的文件的敏感远程路径。 ”通常,具有此类访问权限的用户可能是那些拥有修复问题而不是利用它们的凭据的用户。某些文件夹确实包含登录凭据和 API 密钥,这会使不友好的用户访问更敏感的信息。
Pinson-Roxburgh 指出,一些组织可能会出于自己的特定目的而将某些文件夹打开;但是,仍有许多其他人可能在不知不觉中受到数据泄露的威胁。
Git 服务于超过 8000 万活跃用户的非常受欢迎的用户群。它可以提醒组织更新防病毒协议,尤其是在涉及开源程序时。
近日,网络安全公司 Buguard报道了 Wiseasy 品牌,该品牌因其基于 Android 的支付系统而在亚太地区享有盛誉。其随附的 Wisecloud 云服务因员工的计算机密码被恶意软件窃取并最终进入暗网市场而遭到黑客攻击。这使得不良玩家可以渗透到该品牌的数据库并访问全球 140,000 个支付终端。
值得注意的是,流行的支付系统品牌缺乏普遍推荐的安全功能,例如两因素身份验证。 Android 还以其核心开源而闻名。