Я ищу..

Утечка исходного кода Twitter должна послужить предупреждением, считают эксперты по безопасности Инновации

Утечка исходного кода Twitter должна послужить предупреждением, считают эксперты по безопасности

"Твиттер

Руководители Twitter подозревают, что код был украден недовольным сотрудником, который покинул компанию примерно в то время, когда миллиардер Илон Маск приобрел компанию за 44 миллиарда долларов.

После того, как было объявлено, что часть исходного кода Twitter просочилась в сеть, исследователи безопасности предположили, что это должно послужить предупреждением о необходимости принятия более эффективных мер для защиты корпоративных сетей. Это должно включать в себя тех, кто находится внутри, а также от любой потенциальной внешней угрозы.

В этом случае базовое программирование для Twitter было кратко размещено в сети совместного программирования GitHub. Его удалили в тот же день, но код, размещенный даже на короткое время, можно было легко скопировать и распространить. Twitter обратился в Окружной суд США по Северному округу Калифорнии с требованием обязать Github раскрыть личность пользователя, который первоначально разместил код, а также тех, кто мог получить к нему доступ и загрузить его.

Сообщалось, что руководители Twitter подозревают, что код был украден недовольным сотрудником, который покинул компанию примерно в то время, когда миллиардер-предприниматель Илон Маск приобрел платформу за 44 миллиарда долларов, а затем уволил значительную часть персонала.

«Утечка исходного кода из Twitter может быть результатом расстроенных бывших сотрудников, людей, которым не очень нравится Илон Маск, или даже национальных государств, желающих найти лазейки и способ использовать платформу в своих интересах», — сказал Дэвид. Линднер, директор по информационной безопасности Contrast Security, по электронной почте.

Линдер также поставил под сомнение реакцию Twitter на утечку кода. Соображения безопасности казались второстепенными.

«Интересно, что первой мыслью Twitter было отправить GitHub уведомление о нарушении авторских прав», — пояснил он. «Хотя это важный шаг — но на самом деле не такой уж значимый, поскольку код уже есть — я бы немедленно нанял стороннюю судебно-медицинскую фирму, чтобы убедиться, что злоумышленник не все еще находится в среде Twitter».

Вместо этого основное внимание было уделено интеллектуальной собственности (ИС), а не рискам, которые такая утечка может представлять для пользователей Twitter.

«Во многих таких случаях злоумышленники используют подобные «утечки» как отвлекающий маневр для более разрушительной атаки», — добавил Линдер. "Будет интересно посмотреть, как Twitter справится с прозрачностью своих выводов".

Внутренняя работа — более чем вероятно

Кроме того, теперь не только нынешние руководители Twitter считают, что за взломом стоит недовольный сотрудник. На самом деле, было бы удивительно, если бы кто-то внутри компании не возражал против того, в каком направлении движется компания.

Выяснение того, как произошла утечка кода, также должно быть главным приоритетом, сказал Тим Макки, главный стратег безопасности Synopsys Cybersecurity Research Center (CyRC).

"Возможность публиковать исходный код в репозитории GitHub, принадлежащем компании, должна подвергаться многочисленным элементам управления и проверкам. Происшествиями, подобными тому, что произошло в Twitter, должны управлять те же процессы, которые любая организация использовала бы для определения того, когда и когда они произошли. может захотеть «открыть исходный код» проекта», — сказал Макки по электронной почте.

Хотя такие элементы управления помогут защитить репозиторий исходного кода для организации, стоит также отметить, что, когда разработчик работает над своей веткой исходного кода, он, вероятно, будет использовать личную учетную запись.

«В идеале для корпоративных пользователей эта «личная учетная запись» является частью репозитория, управляемого предприятием, с соответствующими элементами управления доступом, которые ограничивают доступ только для утвержденных пользователей», — пояснил Макки.

Джинн выпущен из бутылки

Как отмечается, сейчас Twitter пытается выяснить не только того, кто разместил утекший код, но и того, кто его скачал. Отслеживание каждой копии может быть, мягко говоря, сизифовой задачей!

"Конечно, публикация исходного кода и его последующее удаление не означает, что кто-то не скопировал его, пока он был общедоступным", – предупредил Маккей. "Любой, кто сделает это, будет иметь возможность проанализировать исходный код и определить, есть ли какие-либо слабые места, которые можно использовать. Это именно тот тип сценария, для защиты от которого предназначены средства контроля управления исходным кодом".