کمیته رکن چهارم – پلتفرم Vimeo اعلام کرده که در پی یک رخنه امنیتی در شرکت ثالث Anodot، بخشی از دادههای کاربران این سرویس بدون مجوز در دسترس مهاجمان قرار گرفته است. این حادثه نمونهای از خطرات وابستگی به سرویسهای جانبی در زنجیره تأمین دیجیتال محسوب میشود.
به گزارش کمیته رکن چهارم، منشأ این رخنه یک نقص امنیتی در پلتفرم تحلیل داده Anodot بوده که مهاجمان از طریق آن موفق به سرقت توکنهای احراز هویت شدهاند. این دسترسی به آنها امکان داده تا به محیطهای دادهای مشتریان، از جمله سیستمهایی مانند Snowflake و BigQuery، دسترسی پیدا کنند.
بر اساس اطلاعات منتشرشده، دادههای افشاشده عمدتاً شامل اطلاعات فنی، عنوان ویدیوها و متادیتا بوده است. در برخی موارد نیز آدرس ایمیل کاربران در معرض دسترسی غیرمجاز قرار گرفته است. با این حال، Vimeo تأکید کرده که محتوای ویدیوها، رمزهای عبور و اطلاعات مالی کاربران تحت تأثیر این حادثه قرار نگرفتهاند.
این حمله به یک عامل تهدید شناختهشده نسبت داده شده که پیشتر نیز در موارد مشابه نقش داشته است. این گروه مدعی شده که دادههای سرقتشده را در اختیار دارد و تهدید کرده در صورت عدم تحقق خواستههای خود، آنها را منتشر خواهد کرد. یک منبع مطلع از این پرونده که به دلایل امنیتی نخواست نامش فاش شود به کمیته رکن چهارم گفت: «چنین حملاتی نشان میدهد که حتی اگر یک سازمان زیرساخت امنی داشته باشد، ضعف در سرویسهای وابسته میتواند به افشای اطلاعات منجر شود.»
گزارشها حاکی از آن است که این رخداد تنها محدود به Vimeo نبوده و چندین سازمان دیگر نیز از طریق همین سرویس ثالث هدف قرار گرفتهاند.
پیشینه
در سالهای اخیر، حملات زنجیره تأمین به یکی از روشهای رایج نفوذ تبدیل شدهاند. در این نوع حملات، مهاجمان بهجای هدف قرار دادن مستقیم یک سازمان، از طریق سرویسها یا تأمینکنندگان جانبی به دادهها دسترسی پیدا میکنند.
جمعبندی
این حادثه بار دیگر اهمیت مدیریت ریسک در استفاده از سرویسهای ثالث را برجسته میکند. نظارت مستمر بر دسترسیها و محدودسازی ارتباطات با سیستمهای خارجی از جمله اقداماتی است که میتواند در کاهش چنین تهدیداتی مؤثر باشد.
منبع: BleepingComputer
