Türkiye'nin en güncel forumlardan olan forumdas.com.tr'de forumda aktif ve katkısı olabilecek kişilerden gönüllü katkıda sağlayabilecek kişiler aranmaktadır.
bilgisayarci
FD Üye
Güvenlik araştırmacıları, resmi üçüncü parti yazılım deposunda çeşitli AWS kimlik bilgilerini sızdırmak gayesiyle tasarlanmış bir dizi Python kütüphanesi keşfetti.
Sonatype firmasından Ax Sharma’nın dediğine göre loglib-modules, pyg-modules, pygrata, pygrata-utils ve hkg-sol-utils kütüphaneleri AWS sunuculara ilişkin kimlik bilgilerini uzak bir sunucuya aktarıyordu.
Ele geçirilmiş yüzlerce bilgiyi TXT biçiminde saklayan uç noktalar, bunlara oburunun erişmesini engelleyecek rastgele bir tedbir de almadı. Herkes rahatlıkla erişim sağlayabiliyor, zımnilik derecesi yüksek bu bilgileri görüntüleyebiliyordu.
Kötü maksatlı kod “loglib-modules” ve “pygrata-utils”e eklendiğinden bu bağımlılıkları kullanan başka kütüphanelerin de dolaylı olarak etkilendiği kaydedildi. Ax Sharma çalınan kimlik bilgilerinin bilerek mi yoksa yanılgılı OPSEC uygulamaları yüzünden mi açık halde barındırıldığını anlayamadığını söyledi. İlgili Python paketleri durumun anlaşılmasının çabucak akabinde PyPi üzerinden kaldırıldı.
