Gammaorg logo

Forráskód-biztonsági elemzés (White-box)

1. Google forráskód-kezelő rendszereinek kompromittálása (2010)

  • 2010 januárjában hackerek célba vették a Google és más cégek forráskód-kezelő rendszereit (SCM), és több biztonsági rést kihasználva hozzáfértek és módosították a forráskódot. A támadók kezdetben célzott phishing támadásokkal szereztek hozzáférést, majd a Perforce SCM rendszerek sebezhetőségeit kihasználva (például gyenge hitelesítés, titkosítatlan kommunikáció) hozzáfértek a kódhoz. VEZETÉKES

2. Kaseya VSA szoftverének kihasználása (2021)

  • A Kaseya Virtual System Administrator (VSA) szoftverében több sebezhetőséget találtak, amelyek közül hármat nem javítottak ki időben. 2021 júliusában a REvil zsarolóprogram-csoport kihasználta ezeket a sebezhetőségeket, és több mint 1 500 vállalatot támadott meg világszerte. A támadás jelentős adatvesztést és pénzügyi károkat okozott. VEZETÉKES

3. Boeing 787 forráskódjának kiszivárgása (2019)

  • 2019-ben egy biztonsági kutató hozzáfért a Boeing 787 és 737 repülőgépek forráskódjához, és sebezhetőségeket talált a Crew Information Service/Maintenance System (CIS/MS) rendszerében. Bár a Boeing tagadta, hogy ezek a sebezhetőségek közvetlen veszélyt jelentenének, a felfedezés rávilágított a repülőgépek biztonsági protokolljainak hiányosságaira. VEZETÉKES

4. Log4Shell sebezhetőség (2021)

  • A Log4j 2 naplózó keretrendszerében 2021 novemberében felfedeztek egy kritikus sebezhetőséget (CVE-2021-44228), amely lehetővé tette a távoli kódfuttatást. A sebezhetőség 2013 óta jelen volt, és több ezer alkalmazásban használták. Bár a sebezhetőséget gyorsan javították, a késlekedés súlyos biztonsági kockázatokat eredményezett. Wikipédia

5.  npm ökoszisztéma biztonsági kockázatai (2019)

  • A JavaScript népszerűsége miatt az npm csomagkezelő rendszere több mint 800 000 szabadon felhasználható csomagot kínál. Azonban az npm nyitott jellege biztonsági kockázatokat is jelent, mivel egyetlen csomag is képes lehet több millió számítógépen futó szoftver működését megszakítani vagy megtámadni. A kutatás szerint az npm ökoszisztémában egyes csomagok elavultak, és a karbantartásuk elmaradása miatt sebezhetőségek maradhatnak fenn. arxiv.org

6. Symantec forráskódjának kiszivárgása (2012)

  • A Symantec megerősítette, hogy hackerek hozzáfértek két vállalati biztonsági termékének forráskódjához: a Symantec Endpoint Protection 11.0 és a már nem támogatott Symantec Antivirus 10.2. Az adatvédelmi incidens nem a Symantec saját hálózatán belül történt, hanem India katonai hírszerző ügynökségének szerverein keresztül, amelyeket állítólag egy "Lords of Dharmaraja" nevű hacker csoport fedezett fel. A forráskód kiszivárgása kockázatokat jelenthet, mivel lehetővé teheti a versenytársak számára az előnyhöz jutást, és a hackerek számára a nem javított sebezhetőségek azonosítását és kihasználását. VEZETÉKES

 

7. Kaseya VSA szoftverének kihasználása (2021)

  • A Kaseya Virtual System Administrator (VSA) szoftverében több sebezhetőséget találtak, amelyek közül hármat nem javítottak ki időben. 2021 júliusában a REvil zsarolóprogram-csoport kihasználta ezeket a sebezhetőségeket, és több mint 1 500 vállalatot támadott meg világszerte. A támadás jelentős adatvesztést és pénzügyi károkat okozott. VEZETÉKES

 

8. GitHub Copilot által generált kód biztonsági gyengeségei (2023)

  • A GitHub Copilot és más mesterséges intelligencia alapú kódgeneráló eszközök népszerűsége miatt a fejlesztők gyorsan és hatékonyan hozhatnak létre kódot. Azonban egy empirikus tanulmány szerint a Copilot által generált Python és JavaScript kódrészletek 29,5%-a, illetve 24,2%-a biztonsági gyengeségeket tartalmazott. Ezek a gyengeségek 43 különböző Common Weakness Enumeration (CWE) kategóriába tartoztak, beleértve a nem megfelelően véletlenszerűen generált értékek használatát (CWE-330), a kód generálásának nem megfelelő irányítását (CWE-94) és a cross-site scripting (CWE-79). arxiv.org

 

Ezek az esetek rávilágítanak arra, hogy a forráskód-biztonsági elemzés elmaradása vagy nem megfelelő végrehajtása súlyos következményekkel járhat, beleértve a pénzügyi veszteségeket, adatvédelmi incidenseket és a vállalat hírnevének csökkenését.

© 2025 Gammaorg Zrt.
Adatkezelési nyilatkozat | Impresszum