GitHub په خپل NPM کڅوړه ذخیره زیربنا کې دوه پیښې افشا کړې. د نومبر په 2، د دریمې ډلې امنیتي څیړونکي (کاجیتان ګرزیبوسکي او ماکیج پیکوټا)، د بګ باونټي پروګرام د یوې برخې په توګه، د NPM ذخیره کې د زیانمننې شتون راپور ورکړ چې تاسو ته اجازه درکوي د خپل حساب په کارولو سره د هرې کڅوړې نوې نسخه خپره کړئ، کوم چې د داسې تازه معلوماتو ترسره کولو اجازه نلري.
زیانمنتیا د مایکرو خدماتو په کوډ کې د غلط اجازې چکونو له امله رامینځته شوې چې NPM ته غوښتنې پروسس کوي. د اختیار ورکولو خدمت په غوښتنه کې د منظور شوي معلوماتو پراساس د بسته اجازې چیکونه ترسره کړل، مګر یو بل خدمت چې ذخیره ته یې تازه اپلوډ کړی د اپلوډ شوي کڅوړې د میټاډاټا مینځپانګې پراساس د خپرولو لپاره بسته ټاکلې. پدې توګه ، یو برید کونکی کولی شي د خپل کڅوړې لپاره د تازه خپرولو غوښتنه وکړي ، کوم چې هغه ته لاسرسی لري ، مګر پخپله کڅوړه کې د بل کڅوړې په اړه معلومات مشخص کړي ، کوم چې په پای کې به تازه شي.
مسله د زیانمننې راپور ورکولو څخه 6 ساعته وروسته حل شوه، مګر زیانمنتیا په NPM کې د ټیلی میټري لاګ پوښ څخه اوږده وه. GitHub ادعا کوي چې د سپتمبر 2020 راهیسې د دې زیان په کارولو سره د بریدونو هیڅ نښه شتون نلري، مګر هیڅ تضمین شتون نلري چې دا ستونزه مخکې نه ده کارول شوې.
دویمه پېښه د اکتوبر په ۲۶مه وشوه. د replicate.npmjs.com خدمت ډیټابیس سره د تخنیکي کار په جریان کې ، په ډیټابیس کې د محرم معلوماتو شتون چې بهرني غوښتنو ته د لاسرسي وړ و څرګند شو ، د داخلي کڅوړو نومونو په اړه معلومات په ګوته کول چې د بدلون لاګ کې ذکر شوي. د دې نومونو په اړه معلومات په داخلي پروژو باندې د انحصاري بریدونو ترسره کولو لپاره کارول کیدی شي (په فبروري کې ورته برید کوډ اجازه ورکړل شوه چې د PayPal، Microsoft، Apple، Netflix، Uber او 26 نورو شرکتونو سرورونو کې اجرا شي).
سربیره پردې ، د لویو پروژو د پټنځایونو د ډیریدونکي قضیو له امله چې تښتول کیږي او ناوړه کوډ د جوړونکي جوړونکي حسابونو سره موافقت کولو له لارې هڅول کیږي ، GitHub پریکړه کړې چې لازمي دوه فاکتور تصدیق معرفي کړي. بدلون به د 2022 په لومړۍ ربع کې پلي شي او په خورا مشهور لیست کې شامل شوي کڅوړو ساتونکو او مدیرانو باندې به پلي شي. برسېره پردې، د زیربنا د عصري کولو په اړه راپور ورکړل شوی، په کوم کې چې د ناوړه بدلونونو د ژر کشفولو لپاره به د پیکجونو نوي نسخو اتوماتیک څارنه او تحلیل معرفي شي.
راځئ چې په یاد ولرو چې په 2020 کې د ترسره شوې مطالعې له مخې، یوازې 9.27٪ د بسته بندۍ ساتونکي د لاسرسي خوندي کولو لپاره دوه فکتور تصدیق کاروي، او په 13.37٪ قضیو کې، کله چې نوي حسابونه ثبت کړي، پراختیا کونکو هڅه وکړه چې جوړ شوي پاسورډونه بیا وکاروي چې په کې ښکاره شوي. پیژندل شوی پټنوم لیک د پاسورډ امنیت چیک په جریان کې، د NPM حسابونو 12٪ (13٪ کڅوړې) د وړاندوینې وړ او کوچني پاسورډونو لکه "123456" کارولو له امله لاسرسی موندلی. د ستونزو په منځ کې د غوره 4 خورا مشهور کڅوړو څخه 20 کارونکي حسابونه وو، 13 د کڅوړو سره حسابونه په میاشت کې له 50 ملیون څخه ډیر ځله ډاونلوډ شوي ، 40 په میاشت کې له 10 ملیون څخه ډیر ډاونلوډونو سره ، او 282 په میاشت کې له 1 ملیون څخه ډیر ډاونلوډونو سره. د انحصارونو سلسله کې د ماډلونو بار کولو په پام کې نیولو سره، د غیر باوري حسابونو جوړجاړی کولی شي په NPM کې د ټولو ماډلونو تر 52٪ پورې اغیزه وکړي.
سرچینه: opennet.ru