ענקית התרופות AstraZeneca האשימה "שגיאת משתמש" בהשארת רשימת אישורים מקוונת שחשפה גישה לנתונים רגישים של מטופלים במשך יותר משנה. קצין אבטחה ראשי בסטארטאפ אבטחת הסייבר SpiderSilk, אמר לאתר TechCrunch שאחד המפתחים השאיר את האישורים עבור שרת פנימי של AstraZeneca באתר שיתוף הקוד GitHub בשנת 2021. האישורים אפשרו גישה לסביבת מבחן של Salesforce המשמשת לניהול לקוחות, אולם סביבת הבדיקה הכילה גם נתוני מטופלים. חלק מהנתונים קשורים ליישומי AZ&ME, המציעים הנחות למטופלים הזקוקים לתרופות.
TechCrunch סיפק ל- AstraZeneca פרטים אודות האישורים שנחשפו וכתוצאה, מאגר GitHub המכיל את האישורים לא היה נגיש שעות לאחר מכן. בהצהרה, אמר ל- TechCrunch דובר AstraZeneca, פטריק בארת': "ההגנה על נתונים אישיים חשובה לנו ביותר ואנו שואפים לסטנדרטים הגבוהים ביותר ולעמידה בכל הכללים והחוקים. עקב שגיאת משתמש, חלק מרשומות הנתונים היו זמינות זמנית בפלטפורמת המפתחים. הפסקנו את הגישה לנתונים הללו מיד לאחר שהודיעו לנו. אנו חוקרים את שורש הסיבה וכן מעריכים את החובות הרגולטוריות שלנו". בארת' סירב לומר מאיזו סיבה אוחסנו נתוני מטופלים בסביבת בדיקה ואם לאסטרזנקה יש את האמצעים הטכניים כגון יומנים, כדי לקבוע אם מישהו ניגש לנתונים ומה, אם בכלל, הנתונים שנחשפו.
למרות שאתרי שיתוף קוד כמו GitHub, מציעים מספר אפשרויות אחסון עבור מפתחים ואישורים אחרים כך שאף אחד לא יכול למצוא אותם, הדבר נשכח לעתים קרובות ובסופו של דבר מסגירים מפתחים סודות הדולפים למאגרים ציבוריים. אישורים, כמו שמות משתמשים וסיסמאות שנחשפים או מתפרסמים בשוגג בפלטפורמות כמו GitHub, הם תגלית שכיחה יותר ויותר עבור חוקרי אבטחה. בשנים האחרונות גילתה חברת SpiderSilk נתונים חשופים השייכים לסמסונג, סטארט-אפ זיהוי הפנים השנוי במחלוקת Clearview AI ושירות המנויים לסרטים – MoviePass. באוגוסט גילתה החברה אישורים השייכים לעובדי מיקרוסופט, אשר פורסמו בשוגג ב- GitHub שבבעלות מיקרוסופט. "זו לא הפעם הראשונה שאנחנו נתקלים באישורים שהודלפו שהוכנסו ל- Github על ידי מהנדסים עקב טעות אנוש, וזה פשוט ממשיך לקרות", סיפר קצין האבטחה הראשי של SpiderSilk ל- TechCrunch והוסיף: "הסיכון בהדלפות מקריות אלו הוא שהן מתרחשות באופן אקראי ודרך הניצול שלהן היא לרוב פשוטה (כלומר, מקלה על עבודתם של האקרים)."
כדי להימנע משיתוף סודות בשוגג במאגר ציבורי, יכולים מפתחים להשתמש בכלים יעודיים לניהול סודות. מנהלי סוד הינן תוכניות נפרדות או חלקים של פלטפורמה המאחסנים סודות ומחדירים אותם בחזרה לתוכניות המפתחים לפי דרישה. כלים לניהול סודות יכולים בקלות להיות מסונכרנים על ידי מפתחי החברה ועם זאת יכולים לעזור למנוע גישה לא מורשית לסודות. למרות זאת ניכר כי ארגונים רבים מתקשים למצוא כלי כזה המתאים לזרימת העבודה והתשתית שלהם. לארגונים כאלו עשוי להיות מועיל לדעת שאפשר לאחסן מידע רגיש כסודות מוצפנים. עבור סודות המאוחסנים ברמת הארגון, ניתן להשתמש במדיניות הרשאות כדי לקבוע אילו מאגרים יכולים להשתמש בסודות הארגון. GitHub מאפשר לאחסן עד 1,000 סודות ארגון, 100 סודות מאגר ו- 100 סודות סביבה.
למקורות הידיעה ולקריאה נוספת:
