هناك عدد كبير من التطبيقات المستندة إلى الويب عرضة للهجوم، مما يعرض معلومات التعريف الشخصية (PII) للمستخدمين للخطر. وفقًا لتقرير جديد صادر عن CyCognito، الذي وجد أن 74% من هذه التطبيقات تحتوي على معلومات تحديد الهوية الشخصية (PII) التي كانت عرضة لبرامج استغلال رئيسية معروفة، مثل تلك المتعلقة بـ Apache Superset و Papercut وMOVEit .
11% تضمنت عيوبًا كان من السهل استغلالها، بدءًا من التكوين الخاطئ، ونقص تشفير HTTPS، وعدم نشر جدار الحماية السحابي (WAF).
كما وجد التقرير أن 50% من هذه التطبيقات الضعيفة تم استضافتها في السحابة. وفي تطور آخر، هناك نسبة مثيرة للقلق تبلغ 98% من المحتمل أن تكون غير متوافقة مع اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي حيث لا يتمكن المستخدمون من إلغاء الاشتراك في ملفات تعريف الارتباط.
مشكلة واسعة النطاق
ويبدو أن تقرير CyCognito يدعم التحليل الذي أجراه معهد SANS وAkamai العام الماضي، والذي وجد أن عام 2022 سجل رقمًا قياسيًا جديدًا للهجمات الإلكترونية على التطبيقات وواجهات برمجة التطبيقات.
ألمح الرئيس التنفيذي لشركة CyCognito، Rob Gurzeev، إلى خرق MOVEit سيئ السمعة والذي لا يزال يؤثر على المؤسسات، معتبرًا إياه درسًا مفيدًا لرؤساء أمن المعلومات حول أهمية الأمن السحابي.
وقال إنه نظرًا لأن "سطح الهجوم الخاص بالشركة يتقلب صعودًا وهبوطًا بنسبة تصل إلى 10 بالمائة شهريًا"، فإن ذلك يجعلها "هدفًا متحركًا مليئًا بالثغرات الأمنية الجاهزة للاستغلال".
"إن أحدث أبحاثنا ليست مجرد دعوة للاستيقاظ مفادها أنه لا توجد شركة محصنة ضد المخاطر؛ وأضاف: "إنه أيضًا دليل واضح على أن الأصول غير المعروفة وغير المكتشفة تشكل تهديدًا كبيرًا للمنظمة".
علقت كالي غونتر، مديرة أبحاث التهديدات السيبرانية في Critical Start، على النطاق الهائل لمعلومات تحديد الهوية الشخصية المعرضة للانتهاكات: "إذا كانت 74% من الأصول التي تحتوي على معلومات تحديد الهوية الشخصية معرضة لاستغلال رئيسي واحد معروف على الأقل، و10% منها بها مشكلة يمكن استغلالها بسهولة، فإن ذلك يرسم صورة مقلقة للوضع الحالي لإدارة التعرض الخارجي."
وأوضح دارين جوتشيوني، الرئيس التنفيذي لشركة Keeper Security، مشكلة وقوع معلومات تحديد الهوية الشخصية في أيدي المجرمين، حيث يمكن "استخدامها بشكل شرير للاحتيال وبيعها لجهات فاعلة سيئة على الويب المظلم"، مضيفًا أن "لجنة التجارة الفيدرالية تلقت 761,660 تقريرا عن الاحتيال في الولايات المتحدة في عام 2022 وحده – مما أدى إلى خسائر تقارب 3 مليارات دولار.
المصدر: Tech Radar