美國和澳洲警告 IDOR 安全漏洞可能被大規模利用
警告發布
美國和澳洲政府的網路安全機構警告,網站和網路應用程式中常見且容易被利用的安全漏洞,可以被濫用以進行大規模的資料洩漏。美國國家網路安全域性(NSA)和澳洲網路安全中心(ACSC)在週四合作發布的聯合警報中指出,這些漏洞被稱為不安全的直接物件引用(IDOR),由於缺乏正確的安全檢查,惡意駭客可以存取或修改組織伺服器上的敏感資料。IDOR 漏洞就像擁有郵箱鑰匙一樣,但這把鑰匙還可以開啟您街上的每個郵箱。IDOR 的問題在於,就像一排郵箱一樣,惡意行為者可以依次逐個利用它們,存取他們不應該被許可存取的資料。由於這些漏洞通常可以透過編列來濫用,警報指出,可以使用自動化工具大規模濫用 IDOR,「雖然以前有關於網路應用程式中 IDOR 漏洞的開源報告,但是美國國家網路安全域性和澳洲網路安全中心意識到這是一個在網路社區中沒有得到足夠認識或理解的主要缺陷。今天的聯合警報是第一個重要警報,旨在幫助組織保護系統中的敏感資料,並推動供應商減少 IDOR 漏洞和缺陷的普遍性」,CISA 產品開發部首席 James Stanley 告訴 TechCrunch。
IDOR 漏洞的危害
聯合警報指出,IDOR 已經導致了美國和海外的重大資料洩漏。近年來 IDOR 導致了美國一家實驗室巨頭的成千上萬份醫療檔案的曝光,一個州政府網站泄漏了成千上萬名納稅人的個人訊息,一個大學的接觸者追蹤應用洩漏了 COVID-19 疫苗接種狀態以及一個政府支援的健康應用可以存取他人的疫苗資料。IDOR 也導致了數億份美國抵押檔案的大規模資料洩漏,數十萬輛車的實時定位資料被一個有缺陷的 GPS 追蹤器暴露以及全球跟蹤軟體網路竊取了數十萬人的私人電話資料。
減少 IDOR 漏洞的措施
聯合警報建議開發人員應確保他們的網路應用程式執行認證和授權檢查,以減少 IDOR 漏洞,並且軟體在設計上是安全的,這是 CISA 提倡的一個原則,敦促軟體製造商從一開始以及整個軟體開發過程中注入安全性。「安全設計是這份警報的基本主題。我們鼓勵供應商和開發人員採取適當措施,透過設計和預設提供保護客戶敏感資料的產品」,CISA 的 James Stanley 表示。澳洲的網路安全機構表示他們持續觀察到惡意行為者利用配置錯誤的網路。「即使僅有一次使用 IDOR 漏洞的洩漏也會對國家產生影響。惡意行為者能夠進行資料洩漏可能會影響到關鍵基礎設施、企業、政府和個人」,澳洲網路安全中心的 Patrick Holmes 表示。
評論與建議
重視網路安全
本次聯合警報的發布提醒我們,網路安全不容忽視,特別是針對常見且易於被利用的漏洞。IDOR 漏洞的問題在於它們可以被惡意行為者大規模利用,導致重大的資料洩漏。這對組織、企業、政府和個人都帶來了巨大風險和損失。
教育和訓練
開發人員和軟體製造商應該重視網路安全教育和訓練,確保他們充分理解並遵循最佳的安全實踐。安全應該從軟體開發的早期階段就被考慮進去,並且在整個開發過程中持續注重。只有這樣,才能最大限度地減少 IDOR 漏洞和其他安全漏洞的存在。
合作共享
網路安全是一個全球性的挑戰,沒有任何一個國家或機構可以獨自應對。本次的聯合警報就是美國和澳洲的合作成果,強調了合作共享的重要性。各國網路安全機構應該加固合作,共享情報和最佳實踐,共同應對網路安全威脅。
結論
網路安全漏洞的存在使組織、企業、政府和個人面臨著嚴重的風險。IDOR 漏洞是其中一種常見且易於被利用的漏洞,可以被惡意行為者大規模濫用。開發人員和軟體製造商應該採取一系列措施,包括確保網路應用程式進行適當的取證和授權檢查,並透過安全設計原則來降低 IDOR 漏洞的風險。同時各國網路安全機構應該加固合作,共同應對這一全球性挑戰。網路安全不僅僅是一個技術問題,它關乎我們個人的隱私和資料安全,也關乎國家的安全和經濟發展。我們應該共同努力,確保網路安全成為我們社會的重要議題。
延伸閱讀
- 臺積電豪擲千億美金布局美國晶片產業!
- 美國停止對俄羅斯的進攻性網路行動,背後原因是什麼?
- 英國深入調查 TikTok、Reddit 和 Imgur 如何保障兒童隱私!
- 「Skype 結束營運,卻留下人人可享的端對端加密遺產!」
- 揭露!研究人員發現不明 Android 漏洞,入侵學生手機的驚人手法
- 「擺脫大企業監控!這些替代應用幫你重拾網路自由」
- 《Anagram:以遊戲化方式提升員工網路安全意識》
- 駭客攻擊澳洲 IVF 供應商 Genea,敏感病患資料遭公佈!
- 駭客入侵!美國大型員工篩檢機構 DISA 洩露超過 300 萬人資料!
- 「Web Summit 熱議:Scale AI CEO 力倡美國贏得 AI 戰爭,卻遭與會者冷淡反應!」
