- Crimson Collective ilidai ufikiaji wa mifumo ya Nintendo na ikatoa picha ya skrini yenye majina ya folda za ndani.
- Nintendo baadaye alikanusha ukiukaji wowote wa seva zake na akaondoa uvujaji wa data ya kibinafsi au ya maendeleo.
- Kundi hili linafanya kazi kupitia ulafi na ufikiaji nyemelezi, kwa kutumia stakabadhi zilizofichuliwa, dosari zinazotokana na wingu, na udhaifu wa wavuti; Red Hat (570 GB) ni mfano mashuhuri.
- Hatua za kuzuia, ukaguzi wa mahakama, MFA, na upendeleo mdogo hupendekezwa kwa matukio ya aina hii.
Kikundi Mkusanyiko wa Crimson inadai kuwa imeingia kwenye mifumo ya Nintendo, katika kipindi ambacho kwa mara nyingine kinaweka uangalizi kwenye ulinzi wa digital wa makampuni makubwa ya teknolojiaUmakini unaangaziwa kwenye madai ya kuingiliwa na uchunguzi wa ushahidi uliotolewa, huku kukiwa na muktadha nyeti hasa wa usalama wa mtandao wa shirika.
Tahadhari Ilipata umaarufu baada ya kuchapishwa kwenye X (zamani Twitter) ilikuzwa na Hackmanac, ambapo a ilionyeshwa kukamata mti wa saraka (ambayo unaweza kuona kwenye picha iliyo hapa chini) ya kile kinachoonekana kuwa rasilimali za ndani za Nintendo, pamoja na marejeleo kama vile "Hifadhi Nakala", "Dev Builds" au "Vipengee vya Uzalishaji". Nintendo anakanusha shambulio hili na uhakiki huru wa ushahidi huo unaendelea na, kama kawaida, uhalisi wa nyenzo inatathminiwa kwa tahadhari.
Rekodi ya matukio na hali rasmi
Kulingana na ushahidi uliokusanywa, madai hayo yalisambazwa kwa mara ya kwanza kwenye njia za ujumbe na mitandao ya kijamii, huku Crimson Collective ikishiriki. mitihani ya kuingia kwa sehemu na simulizi yake ya unyang'anyi. Kikundi, ambacho kwa kawaida hufanya kazi kupitia Telegram, mara nyingi huonyesha orodha za folda au picha za skrini ili kuimarisha uaminifu wa matangazo yake kabla ya kufanya mazungumzo na waathiriwa.
Katika sasisho la baadaye, Nintendo alikanusha waziwazi kuwepo kwa ukiukaji ambao ulihatarisha data ya kibinafsi, ya biashara au ya maendeleo. Katika taarifa kwa chombo cha habari cha Japan Sankei Shimbun cha tarehe 15 Oktoba, kampuni hiyo ilisema kwamba hakukuwa na ushahidi wa upatikanaji wa kina wa mifumo yake; wakati huo huo, ilitajwa kuwa baadhi ya seva za wavuti inayohusiana na ukurasa wako ingeonyesha matukio, bila athari iliyothibitishwa kwa wateja au mazingira ya ndani.
Crimson Collective ni nani na inafanyaje kazi kwa kawaida?
Crimson Collective imepata sifa mbaya kwa kulenga mashambulizi yake kwenye makampuni ya teknolojia, programu na mawasiliano ya simu. Muundo wake unaorudiwa mara nyingi zaidi unachanganya utafiti lengwa, kugawanyika katika mazingira ambayo hayajasanidiwa vizuri, na kisha kuchapisha ushahidi mdogo kwa shinikizo. Mara nyingi, ushujaa wa pamoja sifa zilizofichuliwa, makosa ya usanidi wa wingu na udhaifu katika programu za wavuti, basi kutangaza mahitaji ya kiuchumi au vyombo vya habari.
Utafiti wa hivi majuzi wa kiufundi unaelezea mbinu iliyounganishwa na wingu sana: Wavamizi ni hazina na vyanzo wazi vya funguo na tokeni zinazovuja kwa kutumia zana huria. yenye lengo la kugundua "siri".
Wanapopata vekta inayoweza kutumika, Wanajaribu kuanzisha uvumilivu na kuongeza upendeleo kwenye majukwaa ya wingu (kwa mfano, na vitambulisho vya muda mfupi na ruhusa), na inalenga kuchuja data na kuchuma ufikiajiWatoa huduma kama vile AWS wanapendekeza vitambulisho vya muda mfupi, sera ya upendeleo mdogo, na ukaguzi wa ruhusa unaoendelea kama njia za ulinzi.
Matukio yaliyohusishwa hivi karibuni na kikundi
Katika miezi ya hivi karibuni, mashambulizi yanahusishwa na Crimson Collective ni pamoja na malengo ya hali ya juuKesi ya Red Hat inasimama nje, ambayo Kikundi kinadai kuwa kiliiba takriban GB 570 za data kutoka kwa hifadhi za ndani zipatazo 28.000.. Pia wameunganishwa na Uharibifu wa tovuti ya Nintendo Mwishoni mwa Septemba, tayari kulikuwa na uvamizi dhidi ya makampuni ya mawasiliano ya simu katika kanda.
- Kofia Nyekundu: uchimbaji mkubwa wa habari za ndani kutoka kwa mfumo wake wa ikolojia wa miradi ya kibinafsi.
- Mawasiliano ya simu (k.m., Claro Kolombia): kampeni na unyang'anyi na uchapishaji maalum wa ushahidi.
- Ukurasa wa Nintendo: urekebishaji usioidhinishwa wa tovuti mwishoni mwa Septemba, unaohusishwa na kundi moja.
Athari na hatari zinazowezekana
Ikiwa uingilizi kama huo ungethibitishwa, ufikiaji wa nakala rudufu na nyenzo za ukuzaji inaweza kufichua mali muhimu katika mlolongo wa uzalishaji: hati za ndani, zana, maudhui yanayoundwa au maelezo ya miundombinu. Hii hufungua milango ya kubadili uhandisi, unyonyaji wa udhaifu na, katika hali mbaya, kwa uharamia au faida ya ushindani isiyofaa.
Kwa kuongezea, ufikiaji wa funguo za ndani, tokeni au vitambulisho vitarahisisha harakati za upande kwa mazingira au watoa huduma wengine, na athari inayowezekana ya domino katika mnyororo wa usambazajiKatika kiwango cha sifa na udhibiti, athari itategemea upeo halisi wa udhihirisho na asili ya data ambayo inaweza kuathiriwa.
Mwitikio unaotarajiwa na mazoea mazuri katika tasnia
Katika kukabiliana na matukio kama haya, Kipaumbele ni kudhibiti na kutokomeza ufikiaji usioidhinishwa, kuamsha uchunguzi wa kisayansi na kuimarisha udhibiti wa utambulisho na ufikiaji.Pia ni muhimu kukagua usanidi wa wingu, kuondoa vekta za uvamizi, na kutumia telemetry kugundua shughuli isiyo ya kawaida ambayo inaweza kuonyesha uthabiti wa mvamizi.
- Uzuiaji wa papo hapo: Tenga mifumo iliyoathiriwa, zima kitambulisho kilichofichuliwa, na uzuie njia za uchujaji.
- Ukaguzi wa kisayansi: tengeneza upya ratiba ya matukio, tambua vidhibiti na uunganishe ushahidi kwa timu za kiufundi na mamlaka.
- Ugumu wa ufikiaji: mzunguko muhimu, MFA ya lazima, upendeleo mdogo, na mgawanyiko wa mtandao.
- Uwazi wa udhibiti: Arifu mashirika na watumiaji inapofaa, kwa miongozo iliyo wazi ya kuimarisha usalama wa mtu binafsi.
Pamoja na Kukanusha kwa Nintendo kuhusu pengo linalodaiwa, Lengo linabadilika hadi uthibitishaji wa kiufundi wa ushahidi uliowasilishwa na Crimson CollectiveHey, uimarishaji wa udhibiti ili kuepuka hofu zaidi. Kwa kukosekana kwa ushahidi kamili, Hatua ya busara ni kudumisha umakini, kuimarisha usanidi wa wingu, na kuimarisha ushirikiano na timu za kukabiliana na wachuuzi., kwani kikundi tayari kimeonyesha uwezo wa kutumia vitambulisho vilivyofichuliwa na makosa ya usanidi kwa kiwango kikubwa.
Mimi ni mpenda teknolojia ambaye amegeuza masilahi yake ya "geek" kuwa taaluma. Nimetumia zaidi ya miaka 10 ya maisha yangu kwa kutumia teknolojia ya kisasa na kuchezea kila aina ya programu kwa udadisi mtupu. Sasa nimebobea katika teknolojia ya kompyuta na michezo ya video. Hii ni kwa sababu kwa zaidi ya miaka 5 nimekuwa nikifanya kazi ya kuandika kwenye tovuti mbalimbali za teknolojia na michezo ya video, nikitengeneza makala zinazotaka kukupa taarifa unazohitaji kwa lugha inayoeleweka na kila mtu.
Ikiwa una maswali yoyote, ujuzi wangu unatoka kwa kila kitu kinachohusiana na mfumo wa uendeshaji wa Windows pamoja na Android kwa simu za mkononi. Na ahadi yangu ni kwako, niko tayari kutumia dakika chache na kukusaidia kutatua maswali yoyote ambayo unaweza kuwa nayo katika ulimwengu huu wa mtandao.