00:00:00شخص واحد يقوم بتثبيت برامج اختراق للعبة روبلوكس، مما يتسبب في اختراق فيرسيل، ومن المحتمل أن يؤدي ذلك إلى تعريض
00:00:04جميع متغيرات البيئة الخاصة بمشروعك للخطر، ويطالب المخترقون بـ 2 مليون دولار مقابل
00:00:09البيانات المسروقة.
00:00:10نعم، هذه قصة مجنونة ومخيفة، لذا دعونا نبدأ.
00:00:17هذا هو إعلان فيرسيل عن الاختراق، حيث ذكروا أنهم حددوا حادثًا أمنيًا
00:00:21تضمن وصولًا غير مصرح به إلى بعض أنظمة فيرسيل الداخلية.
00:00:25كان بإمكان هذه الأنظمة الوصول إلى متغيرات البيئة غير الحساسة الخاصة بك، والتي تكون كذلك افتراضيًا
00:00:29بالمناسبة، كما احتوت أيضًا على الكثير من البيانات المؤسسية الداخلية.
00:00:33هذا أيضًا هو المهاجم وهو يبيع تلك البيانات، ويدعي أنه يمكنك إصدار حزم "NPM" خبيثة
00:00:37من شأنها إصابة الملايين.
00:00:38ولكن كيف حصل المهاجمون على هذه المعلومات؟
00:00:40حسنًا، لهذا نحتاج إلى متابعة قصة أحد موظفي فيرسيل.
00:00:44كان يبحث عن مساعدة في عمله، ويبحث عن الخيارات المتاحة
00:00:47لديه لنقل المهام إلى الذكاء الاصطناعي، وعثر على منتج يسمى "Context.ai"، وتحديدًا
00:00:52ذلك المنتج القديم المسمى "AI Office Suite"، والذي كان أداة لإنشاء العروض التقديمية والمستندات
00:00:57وجداول البيانات وكتابة رسائل البريد الإلكتروني نيابة عن المستخدم.
00:01:00قرر موظف فيرسيل تجربة هذه الأداة، وقام بالتسجيل باستخدام حساب "Google Workspace"
00:01:04الخاص بشركة فيرسيل ومنحه صلاحيات "allowall" التي تمنحه وصولًا كاملًا إلى "Google Drive"
00:01:09و"Gmail" الخاصين به.
00:01:10الآن، قد تعتقد أنه كان متهورًا قليلًا باستخدام حساب الشركة ومنحه
00:01:13صلاحيات الوصول الكامل.
00:01:14أعني، كان الأمر كذلك بالفعل.
00:01:16لكن "Context.ai" شركة شرعية.
00:01:19هذه ليست النقطة التي سُرق فيها حساب جوجل الخاص به.
00:01:21لذلك، نحتاج إلى التعمق أكثر.
00:01:23نحتاج إلى الذهاب إلى موظف ذي صلاحيات عالية في "Context.ai".
00:01:27هذا الموظف مشغول ببناء "Context.ai"، ويحاول مواكبة عالم الذكاء الاصطناعي سريع الخطى
00:01:32ويريد الاسترخاء وأخذ استراحة، ربما لعب القليل من روبلوكس.
00:01:35المشكلة، أعتقد أنه لم يكن جيدًا جدًا في اللعبة التي كان يلعبها، لذا أراد
00:01:39اختصار الطريق وبدأ في البحث عن برامج اختراق لروبلوكس، وتحديدًا بعض سكربتات "autofarm"
00:01:44وأعتقد أنه وجد أحدها وقام بتنزيله، كل ذلك على كمبيوتر محمول خاص بالشركة.
00:01:49لا أستطيع حقًا تصديق أن هذا هو ما حدث، إنه أمر غبي للغاية.
00:01:53وكما كان متوقعًا، احتوى اختراق روبلوكس الذي قام بتنزيله على برنامج لسرقة المعلومات
00:01:57واحد يعرف باسم "LumaStealer".
00:01:59إنه برنامج معروف لسرقة المعلومات تم اكتشافه لأول مرة في عام 2022.
00:02:03وبمجرد وصوله إلى جهازك، فإنه يقوم بنسخ ملفات تعريف ارتباط الجلسة الحية وبيانات اعتماد الشركة.
00:02:07وفي حالة موظف "Context.ai" الخاص بنا، تظهر السجلات من جهاز الكمبيوتر المحمول الخاص به أنه حصل على وصول
00:02:11إلى بيانات اعتماد "Google Workspace" الخاصة به، بالإضافة إلى مفاتيح وتسجيلات دخول لأشياء مثل "Supabase"
00:02:15و"Datadog" و"AuthKit".
00:02:16أي شيء قام بتسجيل الدخول إليه على متصفحه تمت سرقته.
00:02:19استخدم المهاجمون بعد ذلك بيانات الاعتماد هذه للوصول إلى بيئة "AWS" الداخلية لشركة "Context.ai"
00:02:25وبينما كانوا يبحثون هناك، عثروا على كنز.
00:02:27لقد وجدوا واخترقوا قاعدة بيانات تحتوي على رموز "OAuth" للمستخدمين الخاصين بمنتجهم القديم
00:02:32مجموعة "AI Office Suite".
00:02:33وخمنوا أي رمز كان موجودًا هناك، جاهزًا للأخذ؟
00:02:36رمز موظف فيرسيل الخاص بنا.
00:02:37باستخدام هذا الرمز، يمكن للمهاجمين الآن الانتقال من "Context.ai" إلى فيرسيل، والسيطرة على
00:02:41حساب "Google Workspace" الخاص بموظف فيرسيل دون الحاجة أبدًا إلى كلمة مرور أو تحفيز
00:02:46مطالبة للمصادقة الثنائية.
00:02:48باستخدام هذا الحساب، حصل المهاجمون على وصول إلى الكثير من أنظمة فيرسيل الداخلية، مثل
00:02:51نظام "Linear"، وحتى نظام خلفي يمكنه الوصول إلى متغيرات البيئة غير الحساسة لمشاريع
00:02:55مستخدمي فيرسيل.
00:02:56إذا لم تقم بتعيين متغيرات البيئة في فيرسيل من قبل، فكان عليك تحديد مربع اختياريًا
00:03:00لتحديد المتغير كمتغير حساس.
00:03:02إذا قمت بذلك، فسيتم تشفيره بشدة وحجبه عن الأنظمة الداخلية، ولكن الافتراضي
00:03:06كان غير حساس، ويمكن فك تشفير هذه المتغيرات إلى نص عادي والوصول إليها داخليًا.
00:03:10كل هذا يقودنا إلى 19 أبريل، حيث قام المهاجمون، الذين يطلقون على أنفسهم اسم "Shiny Hunters"
00:03:15بالنشر في منتديات الاختراق مطالبين بـ 2 مليون دولار مقابل البيانات المسروقة.
00:03:19إنهم يدعون أن لديهم الكود المصدري، ورموز "NPM"، ورموز "GitHub"، وسجلات الموظفين، بل وينشرون
00:03:23لقطة شاشة للوحة تحكم فيرسيل للمؤسسات الداخلية كدليل على أن لديهم وصولًا.
00:03:27ومن المثير للاهتمام أن أعضاء مجموعة "Shiny Hunters" الحقيقية نفوا أي تورط في
00:03:31هذا الأمر، مما يعني أنه قد يكون مجرد تابع أو محتال يحاول الاستفادة من علامتهم التجارية
00:03:36ولكن بغض النظر عن ذلك، كل هذا تداعى بسبب برنامج اختراق لـ "روبلوكس" اللعين.
00:03:40بمجرد أن أصبحت فيرسيل على علم بالاختراق، بدأوا في الاستجابة للحادث، وأكدوا
00:03:43أن المشاريع الأساسية مفتوحة المصدر مثل "Next.js" و"Turbo Pack" كانت آمنة تمامًا، كما أنهم
00:03:48جعلوا جميع متغيرات البيئة الجديدة حساسة افتراضيًا.
00:03:52إذًا هذه هي نظرة عامة على الاختراق، ولكن إذا كنت مستخدمًا لفيرسيل مثلي، فربما
00:03:55لديك الكثير من العمل الذي يتعين عليك القيام به.
00:03:56تحتاج إلى افتراض أن جميع متغيرات البيئة غير الحساسة التي كانت لديك في فيرسيل قد تم
00:04:00اختراقها، وعليك تدوير هذه المفاتيح بنشاط من المصدر.
00:04:03لا يمكنك فقط حذف المشروع والانتقال بعيدًا عن فيرسيل.
00:04:06أيضًا، إذا كنت شركة قلقة من أن أحد الموظفين استخدم "Context.ai"، يمكنك الدخول إلى
00:04:10إعدادات "Google Workspace" وتدقيق تطبيقات "OAuth" المصرح بها، والبحث تحديدًا عن معرف التطبيق
00:04:14المخترق "Context.ai"، وسأترك رابطًا لمدونة "Infostealer" هنا التي تحتوي على
00:04:19تفاصيل حول ما يجب القيام به.
00:04:20ومع ذلك، فإن المغزى من القصة هو أن أداة ذكاء اصطناعي واحدة ذات صلاحيات مفرطة وموظف عشوائي
00:04:24يحاول الغش في لعبة روبلوكس هو كل ما يتطلبه الأمر لاختراق واحدة من أكبر منصات البنية التحتية
00:04:28على الويب.
00:04:29من فضلك لا تقم بتنزيل برامج اختراق الألعاب على كمبيوتر العمل المحمول الخاص بك، أو لكي أكون صادقًا، أي شيء
00:04:33لا تثق به.
00:04:34أخبرني برأيك في كل هذا في التعليقات أدناه، وبينما أنت هناك،
00:04:37اشترك في القناة، وكما هو الحال دائمًا، أراكم في المقطع القادم.
00:04:40[موسيقى]