Laut dem Federal Bureau of Investigation (FBI) nutzen Hacker SonarQube-Anwendungen, um Quellcode von Privatpersonen und Unternehmen in den USA zu stehlen.
Das FBI hat dahingehend kürzlich eine Warnung an IT-Manager und Software-Experten gesendet. Anscheinend hat eine Sicherheitslücke in SonarQube es Hackern seit mindestens April 2020 ermöglicht, Informationen wie Quellcodes zu stehlen.
Passwort: Admin
SonarQube ist eine beliebte Software, mit der Unternehmen Quellcode testen und debuggen können. Hacker entdeckten eine Sicherheitslücke. Diese betrifft die Standard-Porteinstellungen (9000). So konnten die Hacker mit dem Wort „admin“ für Benutzername und Passwort auf die Anwendung zugreifen. Da SonarQube zum Debuggen von Code verwendet wird, erhielten Hacker sofort Zugriff auf neuen Quellcode, der noch nicht veröffentlicht wurde. Im Juli 2020 verwendete ein Hacker eine ähnliche Methode, um Quellcode von einem nicht genannten Unternehmen zu stehlen. Anschließend veröffentlichten sie es zur öffentlichen Ansicht in einem „selbst gehosteten öffentlichen Repository“. Im August 2020 gab es einen zweiten Angriff, bei dem Hacker Regierungsdaten stahlen. Das FBI empfiehlt SonarQube-Nutzern eine sichere Firewall zu verwenden. Ferner bietet es sich an die Standard-Porteinstellung (9000) zu ändern. Ironischerweise dient die äußerst beliebte SonarQube-Software auch dazu Sicherheitslücken zu identifizieren. Es läuft auf einer webbasierten Anwendung und ist somit ein einfacheres Ziel für Hacker. SonarQube läuft auf Webservern und ist mit gängigen Code-Hosting-Sites wie BitBucket oder GitHub verbunden.Hacks und Scams: Ein vermehrte auftretendes Problem?
In den letzten zwei Jahren hat das FBI Hacks mehr Aufmerksamkeit geschenkt. Virtuelle Betrügereien nehmen zu. Tatsächlich warnte das FBI, dass die COVID-19-Pandemie zu einer Zunahme von Online-Betrug geführt habe, insbesondere im Bereich der Kryptowährungen. Oftmals versprechen Scammer unwissenden und uninformierten Investoren große Gewinne und lassen dann die angelegten Summen in die eigene Tasche fließen. Hacks und Ransomware-Angriffe nahmen in den Medien zunehmend Raum ein. Am 17. Juni 2020 sagte Special Agent Tyson Fowler in einer Pressemitteilung:In der Cyberwelt ist es sehr schwierig, ein Netzwerk so weit zu sichern, dass es niemals gehackt werden kann. Aber Sie können das Eindringen so schwierig wie möglich machen.Eine beliebte Vorgehensweise bei Hackern ist die Verbreitung von Ransomware, die die Endgeräte von Opfern unbrauchbar macht. Das Lösegeld fordern die Hacker dann mitunter in Kryptowährungen. Anderen Hackern wiederum geht es um Informationen, wie wir bei dem Vorfall von SonarQube sehen. Später könnten diese Informationen dann für Technologie-Lecks oder Ransomware-Angriffe eingesetzt werden. Das FBI schlägt vor, dass Unternehmen ihre Daten hinter Firewalls und Passwörtern verschlüsselt aufbewahren, um beides zu verhindern. Die SonarQube-Sicherheitsanfälligkeit, die Standardeinstellungen und leicht zu erratende Kennwörter verwendet, ist leider rudimentär. Möglicherweise könnte der Aufbau der Blockchain den Strafverfolgungsbehörden in Zukunft bei der Suche nach Kriminellen helfen.
Warnungen unbeachtet
Die Cyberindustrie warnt häufig vor der Gefahr, Ceratin-Datenbanken online verfügbar zu machen, sagt ZDnet. Während MongoDB und Elasticsearch unter die Lupe genommen werden, sei SonarQube durch die Ritzen gerutscht. Dennoch haben einige Experten die Fehler von SonarQube seit Mai 2018 entschlüsselt. Bemerkenswerterweise stellte Bob Diachenko, ein Jäger für Datenschutzverletzungen, fest, dass etwa 3000 Instanzen der Online-Software keinen effektiven Benutzernamen oder kein gültiges Kennwort hatten.In jüngerer Zeit hat Till Kottmann, ein Schweizer Sicherheitsingenieur, Informationen von Dutzenden von Technologieunternehmen gestohlen, um die Sicherheitslücke zu demonstrieren. Kottmann sagt, diese Verstöße hätten vermieden werden können:In 2018 Bob #Diachenko warned that about 30% to 40% of all the ~3,000 #SonarQube instances available online at the time had no password or authentication mechanism enabled. https://t.co/ARENXpHE9X
— Herm Cardona (@HermCardona) November 7, 2020
Die meisten Leute scheinen absolut keine der Einstellungen zu ändern, die im Setup-Handbuch von SonarQube richtig erklärt werden.Um solche Lecks zu vermeiden, enthält die FBI-Warnung eine Reihe von Schritten, die Unternehmen zum Schutz ihrer SonarQube-Server ausführen können, beginnend mit der Änderung der Standardkonfiguration der App. Benutzer können dann die Anmeldeinformationen stärken und Firewalls verwenden, um den unbefugten Zugriff auf die App zu verhindern. Auf Englisch geschrieben von Harry Leeds, übersetzt von Alexandra Kons.
🎄Die besten Krypto-Plattformen | Dezember 2024
🎄Die besten Krypto-Plattformen | Dezember 2024
Haftungsausschluss
In Übereinstimmung mit den Richtlinien des Trust Project verpflichtet sich BeInCrypto zu einer unvoreingenommenen, transparenten Berichterstattung. Dieser Artikel zielt darauf ab, genaue und aktuelle Informationen zu liefern. Den Lesern wird jedoch empfohlen, die Fakten unabhängig zu überprüfen und einen Fachmann zu konsultieren, bevor sie auf der Grundlage dieses Inhalts Entscheidungen treffen.
Advertorial
Advertorial ist der universelle Autorenname für alle gesponserten Inhalte, die von BeInCrypto-Partnern bereitgestellt werden. Daher können diese Artikel, die von Dritten zu Werbezwecken erstellt wurden, nicht mit den Ansichten oder Meinungen von BeInCrypto übereinstimmen. Obwohl wir uns bemühen, die Glaubwürdigkeit der vorgestellten Projekte zu überprüfen, sind diese Beiträge als Werbung gedacht und sollten nicht als Finanzberatung angesehen werden. Den Lesern wird empfohlen, unabhängige...
Advertorial ist der universelle Autorenname für alle gesponserten Inhalte, die von BeInCrypto-Partnern bereitgestellt werden. Daher können diese Artikel, die von Dritten zu Werbezwecken erstellt wurden, nicht mit den Ansichten oder Meinungen von BeInCrypto übereinstimmen. Obwohl wir uns bemühen, die Glaubwürdigkeit der vorgestellten Projekte zu überprüfen, sind diese Beiträge als Werbung gedacht und sollten nicht als Finanzberatung angesehen werden. Den Lesern wird empfohlen, unabhängige...
KOMPLETTE BIOGRAFIE
Gesponsert
Gesponsert