Die geheime Schwachstelle Finanzmanager fehlen

Dies (andere) Risiko im Finanzwesen

Vor einigen Jahren erhielt ein in Washington ansässiger Immobilienentwickler verschmelzen Dokumentenlink von First American – einem Finanzdienstleistungsunternehmen in jener Immobilienbranche – in Bezug hinauf ein Lokal, an dem er arbeitete. Was auch immer an dem Schriftstück war vollkommen in Ordnungsprinzip und normal.

Dies Seltsame, sagte er einem Reporter, war, dass er plötzlich dasjenige Schriftstück eines anderen sehen konnte, wenn er eine einzige Ziffer in jener URL änderte. Ändern Sie es erneut, ein anderes Schriftstück. Ohne technische Hilfsmittel oder Fachwissen konnte jener Entwickler FirstAm-Aufzeichnungen abrufen, die solange bis ins Jahr 2003 – 885 zurückreichen Million Insgesamt enthalten viele sensible Statistik, die im Immobiliengeschäft offengelegt werden, wie Bankdaten, Sozialversicherungsnummern und natürlich Namen und Adressen.

Dass so gut wie eine Milliarden Datensätze durch eine so einfache Sicherheitslücke im Netz verloren in Betracht kommen könnten, schien schockierend. Doch noch schwerwiegendere Gehorchen treffen Finanzdienstleistungsunternehmen jede Woche. Verizon enthüllte in seinem jüngsten Data Breach Investigations Report, dass die Finanzbranche weltweit die am stärksten betroffene Gewerbe ist, wenn es um grundlegende Angriffe hinauf Webanwendungen geht. Und laut Statista kostet ein erfolgreicher Verstoß jene Unternehmen mittelmäßig rund sechs Mio. Dollar pro Stück. Dieser IWF hat geschätzt, dass die branchenweiten Verluste durch Cyberangriffe “manche hundert Milliarden Dollar pro Jahr klappen könnten, die Gewinne jener Banken untergraben und unter Umständen die Finanzstabilität gefährden”.

Denn Reaktion darauf wenden Führungskräfte jedes Jahr mehr Mio. z. Hd. ausgeklügelte Verteidigungssysteme an – XDR, SOCs, KI-Tools und mehr. Daher während sich Unternehmen gegen APTs und ausgereifte cyberkriminelle Operationen wappnen, werden Sicherheitslücken wie z rudimentär da die von FirstAm branchenweit weit verbreitet sind.

Es gibt insbesondere eine Kategorie von Sicherheitslücken, die selten in Vorstandsdiskussionen auftaucht. Sowie Sie jedoch herbeiführen zu suchen, werden Sie es so gut wie überall finden. Und weit mehr qua Zero-Days, Deepfakes oder Spear-Phishing ist es z. Hd. Hacker ziemlich wie geschmiert, jene Formgebung von Fehlern zu erspähen und sich darauf zu stürzen.

Eine Schwachstelle, die jeder verschlafen

Mit Midjourney erstelltes Portrait

Im Jahr 2019 testeten drei Forscher jener North Carolina State University eine Modell, die allgemein verstanden, freilich in jener Cybersicherheit nicht oft diskutiert wird.

Github und andere Quellcode-Repositories, so die Historie, nach sich ziehen verschmelzen Boom z. Hd. die Softwareindustrie ausgelöst. Sie zuteilen es talentierten Entwicklern, hinauf jener ganzen Welt zusammenzuarbeiten, während sie Sourcecode spenden, nehmen und zu neuer, besserer Software kombinieren, die schneller qua je zuvor erstellt wird. Damit die verschiedenen Codes miteinander auskommen, verwenden sie Anmeldeinformationen – geheime Schlüssel, Token und so weiter. Solche Verbindungsstellen zuteilen es jeder Software, ihre Tür zu einer anderen zu öffnen. Um zu verhindern, dass Angreifer hinauf die gleiche Weise eine Telefonverbindung bekommen, werden sie hinter einem Sicherheitsschleier geschützt.

Oder sind Sie?

Zwischen dem 31. zehnter Monat des Jahres 2017 und dem 20. vierter Monat des Jahres 2018 analysierten die NCSU-Forscher via zwei Milliarden Dateien aus via vier Mio. Github-Repositorys, welches etwa 13 v. H. von allem hinauf jener Website entspricht. In diesen Proben waren so gut wie 600.000 API- und kryptografische Schlüssel enthalten – Geheimnisse, die geradezu in den Quellcode eingebettet sind und z. Hd. jeden visuell sind. Zusätzlich 200.000 dieser Schlüssel waren einzigartig und sie waren hinauf insgesamt mehr qua 100.000 Repos verteilt.

Obwohl die Studie Statistik via sechs Monate gesammelt hat, hätten ein paar Tage – sogar ein paar Zahlungsfrist aufschieben – ausgereicht, um den Zähler zu zeugen. Die Forscher hoben hervor, wie Tausende neuer Geheimnisse an jedem Tag ihrer Studie durchgesickert sind.

Neuere Forschungen nach sich ziehen ihre Statistik nicht nur gestützt, sondern sind noch verschmelzen Schritttempo weiter gegangen. Wie hat GitGuardian alleinig im Kalenderjahr 2021 via sechs identifiziert Million Geheimnisse, die hinauf Github veröffentlicht werden – etwa drei pro 1.000 Commits.

An dieser Stelle mag man sich fragen, ob im Quellcode enthaltene („hardcoded“) geheime Zugangsdaten wirklich so schlecht sind, wenn sie doch so verbreitet sind. Sicherheit in Zahlen, oder?

Die Gefahr von starr codierten Anmeldeinformationen

Hartcodierte Anmeldeinformationen erscheinen wie eine theoretische Schwachstelle, solange bis sie ihren Weg in eine Live-Inanspruchnahme finden.

Im vergangenen Herbst identifizierte Symantec so gut wie 2.000 mobile Apps, die Geheimnisse preisgaben. Zusätzlich drei Viertel ließen AWS-Tokens sickern, die es externen Parteien ermöglichten, hinauf private Cloud-Dienste zuzugreifen, und so gut wie die Hälfte ließ Tokens sickern, die den „vollständigen Zugriff hinauf zahlreiche, oft Mio. private Dateien“ weiter ermöglichten.

Um es lichtvoll zu sagen, dies waren legitime, öffentliche Anwendungen, die heute hinauf jener ganzen Welt verwendet werden. Wie die fünf Banking-Apps, die Symantec gefunden hat, verwenden sie jeder dasjenige gleiche Drittanbieter-SDK z. Hd. die digitale Identitätsauthentifizierung. Identifikationsdaten in Besitz sein von zu den sensibelsten Informationen, die Apps besitzen, freilich dieses SDK hat Cloud-Anmeldeinformationen durchgesickert, die „private Authentifizierungsdaten und Schlüssel offenlegen könnten, die zu jeder Geschäftsbank- und Finanz-App in Besitz sein von, die dasjenige SDK verwendet“. Dies war noch nicht was auch immer, da „die biometrischen digitalen Fingerabdrücke jener Benutzer, die zur Authentifizierung verwendet werden, zusammen mit den persönlichen Statistik jener Benutzer (Namen, Geburtsdaten usw.) in jener Cloud offengelegt wurden“. Insgesamt nach sich ziehen die fünf Banking-Apps via 300.000 biometrische Fingerabdrücke ihrer Benutzer verloren.

Wenn jene Banken einem Kompromiss entgangen sind, nach sich ziehen sie Glücksgefühl. Ähnliche Lecks nach sich ziehen schon größere Fische ausgewischt.

Wie Uber. Man könnte sich vorstellen, dass nur hochgradig organisierte und talentierte Cyber-Gegner in ein Technologieunternehmen von Ubers Reihe eindringen könnten. Im Jahr 2022 schaffte ein 17-Jähriger jedoch was auch immer einzeln. Nachdem ihn klitzekleines bisschen Social Engineering in dasjenige interne Netzwerk des Unternehmens geführt hatte, fand er ein Powershell-Skript, dasjenige Zugangsdaten hinauf Administratorebene z. Hd. dasjenige privilegierte Zugriffsverwaltungssystem von Uber enthielt. Dies ist was auch immer, welches er brauchte, um dann jeder möglichen nachgelagerten Tools und Dienste zu kompromittieren, die vom Unternehmen verwendet werden, von AWS solange bis zu Google Drive, Slack, Mitwirkender-Dashboards und Sourcecode-Repos.

Dies hätte eine bemerkenswertere Historie werden können, wenn da nicht gewesen wäre andere Uber hat 2016 für einem privaten Repo-Verstoß, jener Statistik von via 50 Mio. Kunden und sieben Mio. Fahrern offenlegte, Geheimnisse an Hacker verloren. Oder jener andere Weiland nach sich ziehen sie es 2014 via ein öffentliches Repo getan und hier die persönlichen Informationen von 100.000 Fahrern verloren.

Welches zu tun ist

Dieser Finanzsektor ist weltweit jener am stärksten angegriffene Sektor z. Hd. Cyberangreifer. Und jeder Forscher, jener Tausende von anfälligen Apps oder Mio. von anfälligen Repos durchforstet, demonstriert, wie wie geschmiert es z. Hd. Angreifer wäre, hartcodierte Anmeldeinformationen im Sourcecode zu identifizieren, jener z. Hd. den Fabrikationsstätte eines modernen Unternehmens in dieser Gewerbe unerlässlich ist.

Daher genauso leichtgewichtig wie es die Bösen könnten, könnten es zweitrangig die Guten. Sowohl AWS qua zweitrangig Github selbst versuchen, so gut sie können, ihre Plattformen hinauf undichte Anmeldeinformationen zu beaufsichtigen. Solche Bemühungen alleinig reichen unmissverständlich nicht aus, und hier kommt ein Versorger von Cybersicherheit ins Spiel.

Firm Sie von einem unserer Experten mehr via die Überwachung des Quellcodes hinauf Geheimnisse