Витік вихідного коду Twitter має послужити попередженням, кажуть експерти з безпеки
Керівництво Twitter підозрює, що код був викрадений незадоволеним співробітником, який залишив компанію приблизно в той час, коли мільярдер-підприємець Ілон Маск придбав компанію за 44 мільярди доларів.
Після того, як було оголошено про витік частини вихідного коду Twitter в Інтернет, дослідники безпеки припустили, що це повинно послужити попередженням про те, що потрібно вжити кращих заходів для захисту корпоративних мереж. Це повинно включати тих, хто знаходиться всередині, а також від будь-якої потенційної зовнішньої загрози.
У цьому випадку базове програмування для Twitter було коротко опубліковано в мережі спільного програмування GitHub. Його видалили того ж дня, але код, який був опублікований навіть на короткий час, можна було скопіювати та легко поширити. Twitter звернувся до окружного суду США Північного округу Каліфорнії з проханням наказати Github розкрити особу користувача, який спочатку опублікував код, а також тих, хто міг отримати до нього доступ і завантажити його.
Повідомлялося, що керівники Twitter підозрюють, що код був викрадений незадоволеним співробітником, який залишив компанію приблизно в той час, коли мільярдер-підприємець Ілон Маск придбав платформу за 44 мільярди доларів, а потім звільнив значну частину персоналу.
"Витік вихідного коду з Twitter може бути результатом колишніх засмучених співробітників, людей, які не дуже люблять Ілона Маска, або навіть національних держав, які хочуть знайти діри та спосіб використовувати платформу для своєї користі", – сказав Девід. Лінднер, CISO у Contrast Security, електронною поштою.
Ліндер також поставив під сумнів відповідь Twitter на витік коду. Занепокоєння щодо безпеки здавалося майже запізнілою думкою.
«Цікаво, що першими думками Twitter були відправити повідомлення про порушення авторських прав на GitHub», — пояснив він. «Хоча це важливий крок, але насправді не такий значущий, оскільки код уже є, я б негайно найняв зовнішню експертну компанію, щоб переконатися, що зловмисник усе ще не перебуває в середовищі Twitter».
Натомість у центрі уваги була інтелектуальна власність (IP), а не ризики, які такий витік може становити для користувачів Twitter.
«У багатьох із цих випадків зловмисники використовують подібні «витоки» як відволікання для більш шкідливої атаки», — додав Ліндер. «Буде цікаво подивитися, як Twitter впорається з прозорістю своїх висновків».
Внутрішня робота – більш ніж ймовірно
Крім того, не тільки нинішні керівники Twitter тепер вважають, що за порушенням стояв незадоволений співробітник. Насправді, це могло б бути дивним, якби це не був хтось зсередини, хто мав би проти напрямок, який обрала компанія.
З'ясування того, як стався витік коду, також має бути першочерговим завданням, сказав Тім Маккі, головний стратег безпеки дослідницького центру Synopsys Cybersecurity Research Center (CyRC).
«Можливість публікувати вихідний код у репозиторії GitHub, що належить компанії, повинна підлягати численним контролю та переглядам. Ситуаціями, подібними до того, що трапилося з Twitter, мають керувати ті самі процеси, які будь-яка організація використовувала б, щоб визначити, чи й коли вони можливо, ви захочете «відкрити вихідний код» проекту», – сказав Маккі в електронному листі.
Хоча такі елементи керування допоможуть захистити сховище вихідного коду для організації, варто також зауважити, що коли розробник працює над своєю гілкою вихідного коду, він, швидше за все, використовує особистий обліковий запис.
"В ідеалі для корпоративних користувачів цей 'особистий обліковий запис' є частиною корпоративного репозиторію з відповідним контролем доступу, який обмежує доступ лише схваленим користувачам", – пояснив Маккі.
Джин вийшов із пляшки
Як зазначається, зараз Twitter намагається з’ясувати не лише того, хто опублікував витік коду, але й хто його завантажив. Відстеження кожної копії може бути, м’яко кажучи, сізіфовим завданням!
«Звичайно, публікація вихідного коду та його подальше видалення не означає, що хтось не скопіював його, поки він був публічним», — попередив Маккі. "Будь-хто, хто це зробив, міг би проаналізувати вихідний код і визначити, чи є в ньому будь-які слабкі місця, які можна використати. Це саме той тип сценарію, для захисту якого призначені засоби управління вихідним кодом."
