ਖਤਰਨਾਕ ਆਉਟਲੁੱਕ ਐਡ-ਇਨ ਨਾਲ ਸਹਿਮਤ ਹੋਵੋ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਉਸ ਚੀਜ਼ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜਿਸਨੂੰ ਜੰਗਲ ਵਿੱਚ ਖੋਜਿਆ ਗਿਆ ਪਹਿਲਾ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਖਤਰਨਾਕ ਮਾਈਕ੍ਰੋਸਾਫਟ ਆਉਟਲੁੱਕ ਐਡ-ਇਨ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ, ਜਿਸਦਾ ਕੋਡਨੇਮ AgreeToSteal ਹੈ, ਇੱਕ ਨਵੇਂ ਅਤੇ ਪਰੇਸ਼ਾਨ ਕਰਨ ਵਾਲੇ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਜੋ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਆਫਿਸ ਐਡ-ਇਨ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਇਸ ਘਟਨਾ ਵਿੱਚ, ਇੱਕ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਨੇ ਇੱਕ ਛੱਡੇ ਹੋਏ ਪਰ ਜਾਇਜ਼ ਆਉਟਲੁੱਕ ਐਡ-ਇਨ ਨਾਲ ਜੁੜੇ ਡੋਮੇਨ ਨੂੰ ਹਾਈਜੈਕ ਕਰ ਲਿਆ। ਮਿਆਦ ਪੁੱਗ ਚੁੱਕੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਦੁਬਾਰਾ ਪੇਸ਼ ਕਰਕੇ, ਹਮਲਾਵਰ ਨੇ ਇੱਕ ਨਕਲੀ ਮਾਈਕ੍ਰੋਸਾਫਟ ਲੌਗਇਨ ਪੰਨਾ ਤੈਨਾਤ ਕੀਤਾ ਅਤੇ 4,000 ਤੋਂ ਵੱਧ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਇਕੱਠਾ ਕੀਤਾ।
ਇਹ ਖੋਜ ਮਾਰਕੀਟਪਲੇਸ-ਅਧਾਰਤ ਸਪਲਾਈ ਚੇਨ ਖਤਰਿਆਂ ਵਿੱਚ ਇੱਕ ਨਵੇਂ ਪੜਾਅ ਦਾ ਸੰਕੇਤ ਦਿੰਦੀ ਹੈ, ਇਸ ਵਾਰ ਇਸਦੇ ਮੂਲ ਵਿੱਚ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਉਤਪਾਦਕਤਾ ਸੌਫਟਵੇਅਰ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਉਤਪਾਦਕਤਾ ਟੂਲ ਤੋਂ ਫਿਸ਼ਿੰਗ ਵੈਕਟਰ ਤੱਕ
ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਐਡ-ਇਨ, ਜਿਸਨੂੰ AgrieTo ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਅਸਲ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਕਈ ਕੈਲੰਡਰਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਈਮੇਲ ਰਾਹੀਂ ਉਪਲਬਧਤਾ ਸਾਂਝੀ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਨ ਲਈ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸਨੂੰ ਆਖਰੀ ਵਾਰ ਦਸੰਬਰ 2022 ਵਿੱਚ ਅਪਡੇਟ ਕੀਤਾ ਗਿਆ ਸੀ।
ਰਵਾਇਤੀ ਮਾਲਵੇਅਰ ਵੰਡ ਮੁਹਿੰਮਾਂ ਦੇ ਉਲਟ, ਇਸ ਹਮਲੇ ਵਿੱਚ ਕੋਡਬੇਸ ਵਿੱਚ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਸ਼ਾਮਲ ਨਹੀਂ ਸੀ। ਇਸ ਦੀ ਬਜਾਏ, ਇਸਨੇ ਆਫਿਸ ਐਡ-ਇਨ ਦੇ ਕੰਮ ਕਰਨ ਦੇ ਤਰੀਕੇ ਵਿੱਚ ਇੱਕ ਢਾਂਚਾਗਤ ਕਮਜ਼ੋਰੀ ਦਾ ਫਾਇਦਾ ਉਠਾਇਆ। ਖੋਜਕਰਤਾ ਇਸਨੂੰ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨਾਂ, npm ਪੈਕੇਜਾਂ ਅਤੇ IDE ਪਲੱਗਇਨਾਂ, ਭਰੋਸੇਯੋਗ ਵੰਡ ਚੈਨਲਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲੇ ਪਹਿਲਾਂ ਦੇਖੇ ਗਏ ਹਮਲਿਆਂ ਦੀ ਇੱਕ ਭਿੰਨਤਾ ਵਜੋਂ ਸ਼੍ਰੇਣੀਬੱਧ ਕਰਦੇ ਹਨ ਜਿੱਥੇ ਪ੍ਰਵਾਨਿਤ ਸਮੱਗਰੀ ਬਾਅਦ ਵਿੱਚ ਜਾਂਚ ਸ਼ੁਰੂ ਕੀਤੇ ਬਿਨਾਂ ਬਦਲ ਸਕਦੀ ਹੈ।
ਦਫ਼ਤਰੀ ਐਡ-ਇਨ ਕਈ ਮਿਸ਼ਰਿਤ ਕਾਰਕਾਂ ਦੇ ਕਾਰਨ ਵਧੇ ਹੋਏ ਜੋਖਮ ਨੂੰ ਪੇਸ਼ ਕਰਦੇ ਹਨ:
- ਇਹ ਸਿੱਧੇ ਆਉਟਲੁੱਕ ਦੇ ਅੰਦਰ ਹੀ ਕੰਮ ਕਰਦੇ ਹਨ, ਜਿੱਥੇ ਬਹੁਤ ਹੀ ਸੰਵੇਦਨਸ਼ੀਲ ਸੰਚਾਰਾਂ ਨੂੰ ਸੰਭਾਲਿਆ ਜਾਂਦਾ ਹੈ।
- ਉਹ ਸ਼ਕਤੀਸ਼ਾਲੀ ਇਜਾਜ਼ਤਾਂ ਦੀ ਬੇਨਤੀ ਕਰ ਸਕਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਈਮੇਲਾਂ ਨੂੰ ਪੜ੍ਹਨ ਅਤੇ ਸੋਧਣ ਦੀ ਯੋਗਤਾ ਸ਼ਾਮਲ ਹੈ।
- ਇਹ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਅਧਿਕਾਰਤ ਸਟੋਰ ਰਾਹੀਂ ਵੰਡੇ ਜਾਂਦੇ ਹਨ, ਜੋ ਕਿ ਉਪਭੋਗਤਾ ਵਿਸ਼ਵਾਸ ਨੂੰ ਵਿਰਾਸਤ ਵਿੱਚ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ।
AgreeTo ਕੇਸ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਹਕੀਕਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ: ਅਸਲ ਡਿਵੈਲਪਰ ਨੇ ਕੁਝ ਵੀ ਗਲਤ ਨਹੀਂ ਕੀਤਾ। ਇੱਕ ਜਾਇਜ਼ ਉਤਪਾਦ ਬਣਾਇਆ ਗਿਆ ਸੀ ਅਤੇ ਬਾਅਦ ਵਿੱਚ ਛੱਡ ਦਿੱਤਾ ਗਿਆ ਸੀ। ਹਮਲੇ ਨੇ ਪ੍ਰੋਜੈਕਟ ਛੱਡਣ ਅਤੇ ਮਾਰਕੀਟਪਲੇਸ ਨਿਗਰਾਨੀ ਵਿਚਕਾਰ ਪਾੜੇ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ।
ਆਫਿਸ ਐਡ-ਇਨ ਆਰਕੀਟੈਕਚਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ
ਇਸ ਘਟਨਾ ਦੇ ਕੇਂਦਰ ਵਿੱਚ ਆਫਿਸ ਐਡ-ਇਨ ਦਾ ਡਿਜ਼ਾਈਨ ਹੈ। ਡਿਵੈਲਪਰ ਆਪਣੇ ਐਡ-ਇਨ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਪਾਰਟਨਰ ਸੈਂਟਰ ਰਾਹੀਂ ਜਮ੍ਹਾਂ ਕਰਦੇ ਹਨ, ਜਿੱਥੇ ਹੱਲ ਦੀ ਸਮੀਖਿਆ ਅਤੇ ਪ੍ਰਵਾਨਗੀ ਹੁੰਦੀ ਹੈ। ਹਾਲਾਂਕਿ, ਪ੍ਰਵਾਨਗੀ ਮੁੱਖ ਤੌਰ 'ਤੇ ਇੱਕ ਮੈਨੀਫੈਸਟ ਫਾਈਲ ਨਾਲ ਜੁੜੀ ਹੁੰਦੀ ਹੈ, ਇੱਕ ਸਥਿਰ ਕੋਡ ਪੈਕੇਜ ਨਾਲ ਨਹੀਂ।
ਆਫਿਸ ਐਡ-ਇਨ ਰਵਾਇਤੀ ਸੌਫਟਵੇਅਰ ਤੋਂ ਬੁਨਿਆਦੀ ਤੌਰ 'ਤੇ ਵੱਖਰੇ ਹੁੰਦੇ ਹਨ। ਬੰਡਲ ਕੋਡ ਭੇਜਣ ਦੀ ਬਜਾਏ, ਮੈਨੀਫੈਸਟ ਫਾਈਲ ਇੱਕ URL ਨਿਰਧਾਰਤ ਕਰਦੀ ਹੈ। ਹਰ ਵਾਰ ਜਦੋਂ ਐਡ-ਇਨ ਆਉਟਲੁੱਕ ਦੇ ਅੰਦਰ ਖੋਲ੍ਹਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਐਪਲੀਕੇਸ਼ਨ ਉਸ URL ਤੋਂ ਲਾਈਵ ਸਮੱਗਰੀ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ ਅਤੇ ਇਸਨੂੰ ਇੱਕ ਆਈਫ੍ਰੇਮ ਦੇ ਅੰਦਰ ਰੈਂਡਰ ਕਰਦੀ ਹੈ।
ਇਹ ਆਰਕੀਟੈਕਚਰਲ ਮਾਡਲ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਐਕਸਪੋਜ਼ਰ ਪੇਸ਼ ਕਰਦਾ ਹੈ: ਇੱਕ ਵਾਰ ਮਨਜ਼ੂਰ ਅਤੇ ਦਸਤਖਤ ਕੀਤੇ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਐਡ-ਇਨ ਅਸਲ ਸਮੇਂ ਵਿੱਚ ਹਵਾਲਾ ਦਿੱਤੇ URL ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੀ ਗਈ ਸਮੱਗਰੀ ਨੂੰ ਲੋਡ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ। ਜੇਕਰ ਉਸ URL ਦਾ ਨਿਯੰਤਰਣ ਬਦਲ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਡੋਮੇਨ ਦੀ ਮਿਆਦ ਪੁੱਗਣ ਜਾਂ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਤਿਆਗ ਦੇ ਕਾਰਨ, ਦਸਤਖਤ ਕੀਤੇ ਮੈਨੀਫੈਸਟ ਨੂੰ ਸੋਧੇ ਬਿਨਾਂ ਖਤਰਨਾਕ ਸਮੱਗਰੀ ਪੇਸ਼ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ।
AgreeTo ਮਾਮਲੇ ਵਿੱਚ, ਮੈਨੀਫੈਸਟ ਨੇ ਇੱਕ Vercel-ਹੋਸਟਡ URL (outlook-one.vercel[.]app) ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ। ਡਿਵੈਲਪਰ ਦੀ ਤੈਨਾਤੀ ਨੂੰ ਮਿਟਾਉਣ ਅਤੇ 2023 ਦੇ ਆਸਪਾਸ ਪ੍ਰੋਜੈਕਟ ਦੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਤਿਆਗਣ ਵਾਲੇ ਬਣ ਜਾਣ ਤੋਂ ਬਾਅਦ, URL ਦਾਅਵਾਯੋਗ ਬਣ ਗਿਆ। ਇੱਕ ਹਮਲਾਵਰ ਨੇ ਇਸਦਾ ਕੰਟਰੋਲ ਆਪਣੇ ਕਬਜ਼ੇ ਵਿੱਚ ਲੈ ਲਿਆ ਜਦੋਂ ਕਿ ਐਡ-ਇਨ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਸਟੋਰ ਵਿੱਚ ਸੂਚੀਬੱਧ ਰਿਹਾ।
ਰਿਪੋਰਟਿੰਗ ਦੇ ਅਨੁਸਾਰ, ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸਰਗਰਮ ਹੈ।
ਫਿਸ਼ਿੰਗ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਅਤੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਐਕਸਫਿਲਟਰੇਸ਼ਨ
ਛੱਡੀ ਗਈ ਤੈਨਾਤੀ ਦਾ ਦਾਅਵਾ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਹਮਲਾਵਰ ਨੇ ਹਵਾਲਾ ਦਿੱਤੇ URL 'ਤੇ ਇੱਕ ਫਿਸ਼ਿੰਗ ਕਿੱਟ ਹੋਸਟ ਕੀਤੀ। ਖਤਰਨਾਕ ਸਮੱਗਰੀ ਨੇ ਇੱਕ ਨਕਲੀ ਮਾਈਕ੍ਰੋਸਾਫਟ ਸਾਈਨ-ਇਨ ਪੰਨਾ ਪ੍ਰਦਰਸ਼ਿਤ ਕੀਤਾ ਜੋ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਹਾਸਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ।
ਕੈਪਚਰ ਕੀਤੇ ਪਾਸਵਰਡ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ API ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡਿਲੀਟ ਕੀਤੇ ਗਏ ਸਨ। ਫਿਰ ਪੀੜਤਾਂ ਨੂੰ ਜਾਇਜ਼ ਮਾਈਕ੍ਰੋਸਾਫਟ ਲੌਗਇਨ ਪੰਨੇ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਗਿਆ, ਜਿਸ ਨਾਲ ਸ਼ੱਕ ਘੱਟ ਗਿਆ ਅਤੇ ਸਫਲ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਦੀ ਸੰਭਾਵਨਾ ਵਧ ਗਈ।
ਜਦੋਂ ਕਿ ਦੇਖਿਆ ਗਿਆ ਗਤੀਵਿਧੀ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਸੀ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਚੇਤਾਵਨੀ ਦਿੱਤੀ ਹੈ ਕਿ ਪ੍ਰਭਾਵ ਕਾਫ਼ੀ ਜ਼ਿਆਦਾ ਗੰਭੀਰ ਹੋ ਸਕਦਾ ਸੀ। ਐਡ-ਇਨ ਨੂੰ ReadWriteItem ਅਨੁਮਤੀਆਂ ਨਾਲ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾ ਈਮੇਲਾਂ ਨੂੰ ਪੜ੍ਹਨ ਅਤੇ ਸੋਧਣ ਦੀ ਯੋਗਤਾ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਗਿਆ ਸੀ। ਇੱਕ ਹੋਰ ਹਮਲਾਵਰ ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਵਿਅਕਤੀ JavaScript ਨੂੰ ਤੈਨਾਤ ਕਰ ਸਕਦਾ ਸੀ ਜੋ ਚੁੱਪਚਾਪ ਮੇਲਬਾਕਸ ਸਮੱਗਰੀ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਦੇ ਸਮਰੱਥ ਸੀ, ਜਿਸ ਨਾਲ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਜਾਸੂਸੀ ਵੈਕਟਰ ਬਣ ਸਕਦਾ ਸੀ।
ਵਿਆਪਕ ਪ੍ਰਭਾਵਾਂ ਦੇ ਨਾਲ ਇੱਕ ਮਾਰਕੀਟਪਲੇਸ ਨਿਗਰਾਨੀ ਪਾੜਾ
ਮਾਈਕ੍ਰੋਸਾਫਟ ਸ਼ੁਰੂਆਤੀ ਸਬਮਿਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਦੌਰਾਨ ਐਡ-ਇਨ ਮੈਨੀਫੈਸਟ ਦੀ ਸਮੀਖਿਆ ਕਰਦਾ ਹੈ, ਪਰ ਪ੍ਰਵਾਨਗੀ ਤੋਂ ਬਾਅਦ ਹਵਾਲਾ ਦਿੱਤੇ URL ਦੁਆਰਾ ਦਿੱਤੀ ਗਈ ਲਾਈਵ ਸਮੱਗਰੀ ਦੀ ਕੋਈ ਨਿਰੰਤਰ ਪ੍ਰਮਾਣਿਕਤਾ ਨਹੀਂ ਹੁੰਦੀ। ਇਹ ਇੱਕ ਢਾਂਚਾਗਤ ਵਿਸ਼ਵਾਸ ਪਾੜਾ ਬਣਾਉਂਦਾ ਹੈ: ਮੈਨੀਫੈਸਟ 'ਤੇ ਇੱਕ ਵਾਰ ਦਸਤਖਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਫਿਰ ਵੀ ਇਹ ਜਿਸ ਰਿਮੋਟ ਸਮੱਗਰੀ ਦਾ ਹਵਾਲਾ ਦਿੰਦਾ ਹੈ ਉਹ ਅਣਮਿੱਥੇ ਸਮੇਂ ਲਈ ਬਦਲ ਸਕਦੀ ਹੈ।
AgrieTo ਐਡ-ਇਨ ਦਸੰਬਰ 2022 ਵਿੱਚ ਦਸਤਖਤ ਕੀਤੇ ਗਏ ਸਨ। ਹਾਲਾਂਕਿ ਪ੍ਰਵਾਨਗੀ ਦੇ ਸਮੇਂ ਅਸਲ ਸਮੱਗਰੀ ਜਾਇਜ਼ ਸੀ, ਪਰ ਹੁਣ ਉਹੀ URL ਇੱਕ ਫਿਸ਼ਿੰਗ ਕਿੱਟ ਦੀ ਸੇਵਾ ਕਰਦਾ ਹੈ, ਅਤੇ ਐਡ-ਇਨ ਸਟੋਰ ਵਿੱਚ ਉਪਲਬਧ ਰਹਿੰਦਾ ਹੈ।
ਇਹ ਮੁੱਦਾ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੇ ਈਕੋਸਿਸਟਮ ਤੋਂ ਪਰੇ ਹੈ। ਕੋਈ ਵੀ ਮਾਰਕੀਟਪਲੇਸ ਜੋ ਰਿਮੋਟ ਡਾਇਨਾਮਿਕ ਨਿਰਭਰਤਾਵਾਂ ਦੀ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਤੋਂ ਬਿਨਾਂ ਇੱਕ ਵਾਰ ਸਬਮਿਸ਼ਨ ਨੂੰ ਮਨਜ਼ੂਰੀ ਦਿੰਦਾ ਹੈ, ਉਹ ਵੀ ਇਸੇ ਤਰ੍ਹਾਂ ਦੇ ਜੋਖਮਾਂ ਦਾ ਸਾਹਮਣਾ ਕਰਦਾ ਹੈ। ਢਾਂਚਾਗਤ ਕਮਜ਼ੋਰੀ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਇਕਸਾਰ ਹੈ: ਇੱਕ ਵਾਰ ਮਨਜ਼ੂਰੀ ਦਿਓ, ਅਣਮਿੱਥੇ ਸਮੇਂ ਲਈ ਭਰੋਸਾ ਕਰੋ।
ਮਾਰਕੀਟਪਲੇਸ ਜੋਖਮ ਨੂੰ ਘਟਾਉਣ ਲਈ ਰਣਨੀਤਕ ਘਟਾਓ
AgreeToSteal ਦੁਆਰਾ ਪ੍ਰਗਟ ਕੀਤੀਆਂ ਗਈਆਂ ਪ੍ਰਣਾਲੀਗਤ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਦੂਰ ਕਰਨ ਲਈ, ਸੁਰੱਖਿਆ ਮਾਹਰ ਕਈ ਪ੍ਰਤੀਰੋਧੀ ਉਪਾਵਾਂ ਦੀ ਸਿਫ਼ਾਰਸ਼ ਕਰਦੇ ਹਨ:
- ਜਦੋਂ ਕਿਸੇ ਐਡ-ਇਨ ਦਾ ਹਵਾਲਾ ਦਿੱਤਾ ਗਿਆ URL ਅਜਿਹੀ ਸਮੱਗਰੀ ਦੀ ਸੇਵਾ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ ਜੋ ਅਸਲ ਵਿੱਚ ਸਮੀਖਿਆ ਕੀਤੀ ਗਈ ਸਮੱਗਰੀ ਤੋਂ ਭੌਤਿਕ ਤੌਰ 'ਤੇ ਵੱਖਰੀ ਹੁੰਦੀ ਹੈ ਤਾਂ ਆਟੋਮੈਟਿਕ ਮੁੜ-ਸਮੀਖਿਆਵਾਂ ਨੂੰ ਚਾਲੂ ਕਰੋ।
- ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਡੋਮੇਨ ਮਾਲਕੀ ਪ੍ਰਮਾਣਿਕਤਾ ਲਾਗੂ ਕਰੋ ਕਿ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਡਿਵੈਲਪਰ ਦੇ ਨਿਯੰਤਰਣ ਵਿੱਚ ਰਹਿੰਦਾ ਹੈ, ਅਤੇ ਜਿੱਥੇ ਹੋਸਟਿੰਗ ਮਾਲਕੀ ਬਦਲਦੀ ਹੈ ਉੱਥੇ ਐਡ-ਇਨ ਨੂੰ ਫਲੈਗ ਕਰੋ।
- ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਐਡ-ਇਨਾਂ ਬਾਰੇ ਸੂਚੀ ਤੋਂ ਹਟਾਉਣ ਜਾਂ ਚੇਤਾਵਨੀ ਦੇਣ ਲਈ ਵਿਧੀਆਂ ਸਥਾਪਤ ਕਰੋ ਜੋ ਨਿਰਧਾਰਤ ਸਮਾਂ-ਸੀਮਾਵਾਂ ਦੇ ਅੰਦਰ ਅੱਪਡੇਟ ਨਹੀਂ ਕੀਤੇ ਗਏ ਹਨ।
- ਐਕਸਪੋਜ਼ਰ ਅਤੇ ਸੰਭਾਵੀ ਪ੍ਰਭਾਵ ਦਾ ਮੁਲਾਂਕਣ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਨ ਲਈ ਡਿਸਪਲੇ ਇੰਸਟਾਲੇਸ਼ਨ ਗਿਣਤੀ।
ਆਧੁਨਿਕ ਐਕਸਟੈਂਸ਼ਨ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਸਪਲਾਈ ਚੇਨ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ, ਸਿਰਫ਼ ਸਥਿਰ ਮੈਨੀਫੈਸਟ ਪ੍ਰਵਾਨਗੀ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ, ਲਾਈਵ ਸਮੱਗਰੀ ਦੀ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਜ਼ਰੂਰੀ ਹੈ।
ਗਤੀਸ਼ੀਲ ਨਿਰਭਰਤਾ ਟਰੱਸਟ ਮਾਡਲਾਂ ਲਈ ਇੱਕ ਜਾਗਣ ਦੀ ਅਪੀਲ
AgreeToSteal ਮੁਹਿੰਮ ਸਮਕਾਲੀ ਸਾਫਟਵੇਅਰ ਵੰਡ ਮਾਡਲਾਂ ਵਿੱਚ ਇੱਕ ਬੁਨਿਆਦੀ ਚੁਣੌਤੀ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਆਫਿਸ ਐਡ-ਇਨ, ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨ, ਅਤੇ ਸਮਾਨ ਮਾਰਕੀਟਪਲੇਸ-ਹੋਸਟਡ ਟੂਲ ਅਕਸਰ ਰਿਮੋਟ, ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਸੇਵਾ ਕੀਤੀ ਸਮੱਗਰੀ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ।
ਸਮੇਂ-ਸਮੇਂ 'ਤੇ ਰੀਸਕੈਨਿੰਗ ਅਤੇ ਵਿਵਹਾਰਕ ਨਿਗਰਾਨੀ ਤੋਂ ਬਿਨਾਂ, ਭਰੋਸੇਯੋਗ ਐਪਲੀਕੇਸ਼ਨ ਚੁੱਪਚਾਪ ਹਮਲੇ ਦੇ ਵੈਕਟਰਾਂ ਵਿੱਚ ਵਿਕਸਤ ਹੋ ਸਕਦੇ ਹਨ।
ਇਹ ਮਾਮਲਾ ਪਲੇਟਫਾਰਮ ਆਪਰੇਟਰਾਂ ਅਤੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਡਿਫੈਂਡਰਾਂ ਲਈ ਇੱਕ ਚੇਤਾਵਨੀ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ: ਵਿਸ਼ਵਾਸ ਨੂੰ ਲਗਾਤਾਰ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਜਦੋਂ ਰਿਮੋਟ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਅਤੇ ਗਤੀਸ਼ੀਲ ਨਿਰਭਰਤਾ ਸ਼ਾਮਲ ਹੋਵੇ।
