GitHub သည် ၎င်း၏ NPM package repository အခြေခံအဆောက်အအုံတွင် ဖြစ်ရပ်နှစ်ခုကို ထုတ်ဖော်ခဲ့သည်။ နိုဝင်ဘာလ 2 ရက်နေ့တွင်၊ ပြင်ပလုံခြုံရေးသုတေသီများ (Kajetan Grzybowski နှင့် Maciej Piechota) သည် Bug Bounty ပရိုဂရမ်၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့် သင့်အကောင့်ကိုအသုံးပြုသည့် မည်သည့်ပက်ကေ့ဂျ်၏ဗားရှင်းအသစ်ကိုမဆို ထုတ်ဝေနိုင်စေမည့် NPM repository တွင် အားနည်းချက်တစ်ခု ရှိနေကြောင်း အစီရင်ခံတင်ပြခဲ့သည်။ ယင်းကဲ့သို့ အပ်ဒိတ်များကို လုပ်ဆောင်ရန် ခွင့်မပြုပါ။
အားနည်းချက်သည် NPM သို့ တောင်းဆိုမှုများကို လုပ်ဆောင်သည့် မိုက်ခရိုဝန်ဆောင်မှုကုဒ်တွင် ခွင့်ပြုချက်မမှန်ကန်ခြင်းကြောင့် ဖြစ်ပေါ်လာခြင်းဖြစ်သည်။ ခွင့်ပြုချက်ပေးသည့်ဝန်ဆောင်မှုသည် တောင်းဆိုချက်တွင် ပေးပို့ထားသောဒေတာအပေါ်အခြေခံ၍ ပက်ကေ့ခ်ျခွင့်ပြုချက်စစ်ဆေးမှုများကို လုပ်ဆောင်ပေးခဲ့သော်လည်း သိုလှောင်ခန်းသို့ အပ်လုဒ်တင်ထားသည့် အခြားဝန်ဆောင်မှုသည် အပ်လုဒ်လုပ်ထားသည့် ပက်ကေ့ခ်ျ၏ မက်တာဒေတာအကြောင်းအရာအပေါ်အခြေခံ၍ ပက်ကေ့ခ်ျကို ထုတ်ဝေရန် ဆုံးဖြတ်ခဲ့သည်။ ထို့ကြောင့်၊ တိုက်ခိုက်သူသည် သူဝင်ရောက်ခွင့်ရှိသည့် အထုပ်အတွက် အပ်ဒိတ်ထုတ်ဝေမှုကို တောင်းဆိုနိုင်သော်လည်း နောက်ဆုံးတွင် အပ်ဒိတ်လုပ်မည့် အခြားပက်ကေ့ခ်ျအကြောင်း အချက်အလက်များကို ပက်ကေ့ခ်ျတွင် သတ်မှတ်ပေးနိုင်သည်။
အားနည်းချက်ကို အစီရင်ခံပြီးနောက် 6 နာရီအကြာတွင် ပြဿနာကို ဖြေရှင်းပေးခဲ့သော်လည်း အားနည်းချက်သည် တယ်လီမီတာမှတ်တမ်းများထက် ပိုရှည်သော NPM တွင် ရှိနေပါသည်။ GitHub က 2020 ခုနှစ် စက်တင်ဘာလကတည်းက ဤအားနည်းချက်ကို အသုံးပြု၍ တိုက်ခိုက်မှုခြေရာခံမရှိဟု ဆိုသော်လည်း ပြဿနာကို ယခင်က အသုံးချခြင်းမပြုခဲ့ကြောင်း အာမခံချက်မရှိပါ။
ဒုတိယမြောက်ဖြစ်စဉ်မှာ အောက်တိုဘာ ၂၆ ရက်က ဖြစ်ပွားခဲ့သည်။ replicate.npmjs.com ဝန်ဆောင်မှု၏ ဒေတာဘေ့စ်နှင့် နည်းပညာပိုင်းဆိုင်ရာ လုပ်ဆောင်နေစဉ်အတွင်း၊ ပြင်ပတောင်းဆိုမှုများမှ ရယူအသုံးပြုနိုင်သည့် ဒေတာဘေ့စ်အတွင်း လျှို့ဝှက်အချက်အလက်များ ရှိနေခြင်းကို ထုတ်ဖော်ခဲ့ပြီး ပြောင်းလဲမှုမှတ်တမ်းတွင် ဖော်ပြထားသည့် အတွင်းပိုင်းပက်ကေ့ဂျ်များ၏ အမည်များကို ထုတ်ဖော်ပြသခဲ့သည်။ ပြည်တွင်းပရောဂျက်များပေါ်တွင် မှီခိုတိုက်ခိုက်မှုများကို လုပ်ဆောင်ရန် ထိုကဲ့သို့သောအမည်များဆိုင်ရာ အချက်အလက်များကို အသုံးပြုနိုင်ပြီး (ဖေဖော်ဝါရီလတွင် အလားတူတိုက်ခိုက်မှုတစ်ခုက PayPal၊ Microsoft၊ Apple၊ Netflix၊ Uber နှင့် အခြားကုမ္ပဏီ 26 ၏ဆာဗာများတွင် လုပ်ဆောင်ရန်ခွင့်ပြုထားသောကုဒ်)။
ထို့အပြင်၊ ကြီးမားသောပရောဂျက်များ၏ သိုလှောင်နေရာများကို ပြန်ပေးဆွဲခံရခြင်းနှင့် အန္တရာယ်ရှိသောကုဒ်များကို မြှင့်တင်ခြင်းများကြောင့် GitHub သည် မဖြစ်မနေ two-factor authentication ကို မိတ်ဆက်ရန် ဆုံးဖြတ်ခဲ့သည်။ ပြောင်းလဲမှုသည် 2022 ခုနှစ် ပထမသုံးလပတ်တွင် စတင်အသက်ဝင်မည်ဖြစ်ပြီး ရေပန်းအစားဆုံးစာရင်းတွင်ပါဝင်သော ပက်ကေ့ဂျ်များကို ထိန်းသိမ်းသူများနှင့် စီမံခန့်ခွဲသူများထံ သက်ရောက်မှုရှိမည်ဖြစ်သည်။ ထို့အပြင်၊ ၎င်းတွင် အန္တရာယ်ရှိသော အပြောင်းအလဲများကို စောစီးစွာသိရှိနိုင်စေရန်အတွက် ပက်ကေ့ဂျ်ဗားရှင်းအသစ်များကို အလိုအလျောက်စောင့်ကြည့်ခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်းများ ပြုလုပ်မည့် အခြေခံအဆောက်အအုံ၏ ခေတ်မီခြင်းအကြောင်း အစီရင်ခံထားသည်။
2020 ခုနှစ်တွင် ပြုလုပ်ခဲ့သော လေ့လာမှုတစ်ခုအရ ပက်ကေ့ဂျ်ထိန်းသိမ်းသူများ၏ 9.27% ကသာ ဝင်ရောက်မှုကို ကာကွယ်ရန် two-factor authentication ကို အသုံးပြုကြပြီး 13.37% တွင် အကောင့်အသစ်များစာရင်းသွင်းသောအခါတွင် developer များသည် အပေးအယူရှိသော စကားဝှက်များကို ပြန်သုံးရန် ကြိုးစားကြသည်ကို သတိရကြပါစို့။ password ပေါက်ကြားမှု လူသိများသည်။ စကားဝှက်လုံခြုံရေးပြန်လည်သုံးသပ်မှုတစ်ခုအတွင်း၊ "12" ကဲ့သို့သော ကြိုတင်ခန့်မှန်းနိုင်သောနှင့်အသေးအဖွဲစကားဝှက်များကိုအသုံးပြုခြင်းကြောင့် NPM အကောင့်များ၏ 13% (ပက်ကေ့ဂျ်များ၏ 123456%) ကို ဝင်ရောက်ကြည့်ရှုခဲ့သည်။ ပြဿနာရှိသူများထဲတွင် ထိပ်တန်းရေပန်းအစားဆုံး ပက်ကေ့ဂျ် 4 မှ သုံးစွဲသူအကောင့် 20 ခု၊ ပက်ကေ့ဂျ်များပါရှိသော အကောင့် 13 ခုသည် တစ်လလျှင် အကြိမ်ပေါင်း သန်း 50 ကျော်၊ တစ်လလျှင် ဒေါင်းလုဒ် 40 သန်းကျော် 10 နှင့် တစ်လလျှင် ဒေါင်းလုဒ်ပေါင်း 282 သန်းကျော် 1 တို့ဖြစ်သည်။ မှီခိုမှုများ၏ကွင်းဆက်တစ်လျှောက် မော်ဂျူးများတင်ခြင်းကို ထည့်သွင်းစဉ်းစားခြင်းဖြင့်၊ မယုံကြည်ရသောအကောင့်များ၏ အပေးအယူသည် NPM ရှိ မော်ဂျူးအားလုံး၏ 52% အထိ အကျိုးသက်ရောက်နိုင်သည်။
source: opennet.ru