ਡਾਟਾ ਉਲੰਘਣਾਵਾਂ ਦੀ ਇੱਕ ਲਹਿਰ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ
ਓਪਨ-ਸੋਰਸ ਲਾਰਜ ਲੈਂਗਵੇਜ ਮਾਡਲਾਂ (LLMs) ਜਿਵੇਂ ਕਿ DeepSeek ਅਤੇ Ollama ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਅਪਣਾਉਣਾ ਇੱਕ ਦੋ-ਧਾਰੀ ਤਲਵਾਰ ਬਣ ਗਿਆ ਹੈ। ਜਦੋਂ ਕਿ ਕਾਰੋਬਾਰ ਇਹਨਾਂ ਸ਼ਕਤੀਸ਼ਾਲੀ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕੁਸ਼ਲਤਾ ਵਧਾਉਣ ਲਈ ਕਰ ਰਹੇ ਹਨ, ਉਹੀ ਓਪਨਨੈੱਸ ਜੋ ਉਹਨਾਂ ਦੇ ਵਾਧੇ ਨੂੰ ਤੇਜ਼ ਕਰਦੀ ਹੈ, ਡੇਟਾ ਸੁਰੱਖਿਆ ਦੇ ਜੋਖਮਾਂ ਵਿੱਚ ਇੱਕ ਸਮਾਨ ਵਾਧਾ ਕਰ ਰਹੀ ਹੈ। NSFOCUS Xingyun Lab ਦੁਆਰਾ ਕੰਪਾਇਲ ਕੀਤੀ ਗਈ ਇੱਕ ਤਾਜ਼ਾ ਰਿਪੋਰਟ ਇੱਕ ਸਪੱਸ਼ਟ ਤਸਵੀਰ ਪੇਸ਼ ਕਰਦੀ ਹੈ: 2025 ਦੇ ਪਹਿਲੇ ਦੋ ਮਹੀਨਿਆਂ ਵਿੱਚ, ਦੁਨੀਆ ਨੇ LLMs ਨਾਲ ਸਿੱਧੇ ਤੌਰ ‘ਤੇ ਜੁੜੀਆਂ ਪੰਜ ਮਹੱਤਵਪੂਰਨ ਡੇਟਾ ਉਲੰਘਣਾਵਾਂ ਦੇਖੀਆਂ। ਇਹਨਾਂ ਘਟਨਾਵਾਂ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੇ ਵੱਡੇ ਭੰਡਾਰ ਸਾਹਮਣੇ ਆਏ, ਜਿਸ ਵਿੱਚ ਗੁਪਤ ਚੈਟ ਇਤਿਹਾਸ ਅਤੇ API ਕੁੰਜੀਆਂ ਤੋਂ ਲੈ ਕੇ ਮਹੱਤਵਪੂਰਨ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਘਟਨਾਵਾਂ ਇੱਕ ਚੇਤਾਵਨੀ ਹਨ, ਜੋ ਅਤਿ-ਆਧੁਨਿਕ AI ਤਕਨਾਲੋਜੀ ਦੀ ਸਤ੍ਹਾ ਦੇ ਹੇਠਾਂ ਲੁਕੀਆਂ ਹੋਈਆਂ ਅਕਸਰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ। ਇਹ ਪੜਚੋਲ ਇਹਨਾਂ ਪੰਜ ਘਟਨਾਵਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰੇਗੀ, ਹਮਲੇ ਦੇ ਤਰੀਕਿਆਂ ਨੂੰ ਵੱਖ ਕਰੇਗੀ, ਉਹਨਾਂ ਨੂੰ ਸਥਾਪਿਤ MITRE ATT&CK ਫਰੇਮਵਰਕ ਨਾਲ ਮੈਪ ਕਰੇਗੀ, ਅਤੇ ਉਹਨਾਂ ਸੁਰੱਖਿਆ ਅੰਨ੍ਹੇ ਸਥਾਨਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰੇਗੀ ਜਿਨ੍ਹਾਂ ਨੂੰ ਸੰਸਥਾਵਾਂ ਨੂੰ ਤੁਰੰਤ ਹੱਲ ਕਰਨ ਦੀ ਲੋੜ ਹੈ।
ਘਟਨਾ 1: DeepSeek ਦਾ ਗਲਤ ਕੌਂਫਿਗਰ ਕੀਤਾ ਡੇਟਾਬੇਸ – ਨਿੱਜੀ ਗੱਲਬਾਤ ਵਿੱਚ ਇੱਕ ਝਰੋਖਾ
ਸਮਾਂਰੇਖਾ: 29 ਜਨਵਰੀ, 2025
ਲੀਕੇਜ ਦਾ ਪੈਮਾਨਾ: ਲੱਖਾਂ ਲਾਈਨਾਂ ਦਾ ਲੌਗ ਡੇਟਾ, ਜਿਸ ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਚੈਟ ਇਤਿਹਾਸ ਅਤੇ ਐਕਸੈਸ ਕੁੰਜੀਆਂ ਸ਼ਾਮਲ ਹਨ।
ਘਟਨਾਵਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਨਾ:
Wiz ਵਿਖੇ ਸੁਰੱਖਿਆ ਖੋਜ ਟੀਮ ਨੇ ਇਸ ਖੋਜ ਦੀ ਸ਼ੁਰੂਆਤ ਕੀਤੀ। ਉਹਨਾਂ ਨੇ ਜਨਤਕ ਇੰਟਰਨੈਟ ‘ਤੇ ਪਹੁੰਚਯੋਗ ਇੱਕ ਐਕਸਪੋਜ਼ਡ ClickHouse ਸੇਵਾ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਅਗਲੇਰੀ ਜਾਂਚ ਨੇ ਪੁਸ਼ਟੀ ਕੀਤੀ ਕਿ ਇਹ ਸੇਵਾ ਚੀਨੀ AI ਸਟਾਰਟਅੱਪ, DeepSeek ਨਾਲ ਸਬੰਧਤ ਹੈ। ClickHouse, ਵਿਸ਼ਲੇਸ਼ਣਾਤਮਕ ਪ੍ਰੋਸੈਸਿੰਗ ਵਿੱਚ ਵੱਡੇ ਡੇਟਾਸੈਟਾਂ ਨੂੰ ਕੁਸ਼ਲਤਾ ਨਾਲ ਸੰਭਾਲਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਬਦਕਿਸਮਤੀ ਨਾਲ DeepSeek ਦੇ ਅੰਦਰੂਨੀ ਡੇਟਾ ਦਾ ਗੇਟਵੇ ਬਣ ਗਿਆ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ DeepSeek ਦੇ ਲੌਗ ਸਟ੍ਰੀਮ ਦੀਆਂ ਲਗਭਗ ਇੱਕ ਮਿਲੀਅਨ ਲਾਈਨਾਂ ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ, ਜਿਸ ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦਾ ਇੱਕ ਖਜ਼ਾਨਾ ਸਾਹਮਣੇ ਆਇਆ, ਜਿਸ ਵਿੱਚ ਇਤਿਹਾਸਕ ਚੈਟ ਲੌਗ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਐਕਸੈਸ ਕੁੰਜੀਆਂ ਸ਼ਾਮਲ ਹਨ।
Wiz ਨੇ ਤੁਰੰਤ DeepSeek ਨੂੰ ਕਮਜ਼ੋਰੀ ਬਾਰੇ ਸੁਚੇਤ ਕੀਤਾ, ਜਿਸ ਨਾਲ ਤੁਰੰਤ ਕਾਰਵਾਈ ਹੋਈ ਅਤੇ ਐਕਸਪੋਜ਼ਡ ClickHouse ਸੇਵਾ ਦਾ ਸੁਰੱਖਿਅਤ ਨਿਪਟਾਰਾ ਹੋਇਆ।
ਹਮਲੇ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ:
ਮੁੱਖ ਮੁੱਦਾ ClickHouse ਦੀ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਤੀ ਕਮਜ਼ੋਰੀ ਵਿੱਚ ਸੀ। ClickHouse, ਇੱਕ ਓਪਨ-ਸੋਰਸ ਕਾਲਮ-ਓਰੀਐਂਟਿਡ ਡੇਟਾਬੇਸ ਪ੍ਰਬੰਧਨ ਸਿਸਟਮ, ਵੱਡੇ ਡੇਟਾਸੈਟਾਂ ਦੇ ਰੀਅਲ-ਟਾਈਮ ਪੁੱਛਗਿੱਛ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਉੱਤਮ ਹੈ, ਜੋ ਅਕਸਰ ਲੌਗ ਅਤੇ ਉਪਭੋਗਤਾ ਵਿਵਹਾਰ ਵਿਸ਼ਲੇਸ਼ਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਜਦੋਂ ਸਹੀ ਪਹੁੰਚ ਨਿਯੰਤਰਣਾਂ ਤੋਂ ਬਿਨਾਂ ਤੈਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਇਸਦਾ ਐਕਸਪੋਜ਼ਡ API ਇੰਟਰਫੇਸ ਕਿਸੇ ਵੀ ਵਿਅਕਤੀ ਨੂੰ SQL-ਵਰਗੇ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
Wiz ਸੁਰੱਖਿਆ ਟੀਮ ਦੇ ਪਹੁੰਚ ਵਿੱਚ DeepSeek ਦੇ ਇੰਟਰਨੈਟ-ਫੇਸਿੰਗ ਸਬਡੋਮੇਨਾਂ ਦਾ ਇੱਕ ਵਿਧੀਗਤ ਸਕੈਨ ਸ਼ਾਮਲ ਸੀ। ਸ਼ੁਰੂ ਵਿੱਚ ਸਟੈਂਡਰਡ ਪੋਰਟ 80 ਅਤੇ 443 ‘ਤੇ ਧਿਆਨ ਕੇਂਦ੍ਰਤ ਕਰਦੇ ਹੋਏ, ਉਹਨਾਂ ਨੇ ਆਮ ਵੈੱਬ ਸਰੋਤ ਜਿਵੇਂ ਕਿ ਚੈਟਬੋਟ ਇੰਟਰਫੇਸ ਅਤੇ API ਦਸਤਾਵੇਜ਼ ਲੱਭੇ। ਆਪਣੀ ਖੋਜ ਨੂੰ ਵਿਸ਼ਾਲ ਕਰਨ ਲਈ, ਉਹਨਾਂ ਨੇ ਘੱਟ ਆਮ ਪੋਰਟਾਂ ਜਿਵੇਂ ਕਿ 8123 ਅਤੇ 9000 ਤੱਕ ਵਿਸਤਾਰ ਕੀਤਾ, ਅੰਤ ਵਿੱਚ ਕਈ ਸਬਡੋਮੇਨਾਂ ‘ਤੇ ਐਕਸਪੋਜ਼ਡ ਸੇਵਾਵਾਂ ਦਾ ਪਤਾ ਲਗਾਇਆ।
ਸਮਝੌਤਾ ਕੀਤੇ ਲੌਗ ਡੇਟਾ, ਜੋ ਕਿ 6 ਜਨਵਰੀ, 2025 ਤੋਂ ਸ਼ੁਰੂ ਹੋਇਆ ਸੀ, ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦੀ ਇੱਕ ਦੌਲਤ ਸ਼ਾਮਲ ਸੀ: ਕਾਲ ਲੌਗ, ਅੰਦਰੂਨੀ DeepSeek API ਐਂਡਪੁਆਇੰਟਾਂ ਲਈ ਟੈਕਸਟ ਲੌਗ, ਵਿਸਤ੍ਰਿਤ ਚੈਟ ਇਤਿਹਾਸ, API ਕੁੰਜੀਆਂ, ਬੈਕਐਂਡ ਸਿਸਟਮ ਵੇਰਵੇ, ਅਤੇ ਸੰਚਾਲਨ ਮੈਟਾਡੇਟਾ।
VERIZON ਇਵੈਂਟ ਵਰਗੀਕਰਨ: ਫੁਟਕਲ ਗਲਤੀਆਂ
MITRE ATT&CK ਫਰੇਮਵਰਕ ਮੈਪਿੰਗ:
- T1590.002 (ਪੀੜਤ ਨੈੱਟਵਰਕ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰੋ - ਡੋਮੇਨ ਨਾਮ ਰੈਜ਼ੋਲਿਊਸ਼ਨ): ਹਮਲਾਵਰਾਂ ਨੇ ਸਬਡੋਮੇਨ ਗਣਨਾ ਕਰਨ ਲਈ ਸੰਭਾਵਤ ਤੌਰ ‘ਤੇ ਪ੍ਰਾਇਮਰੀ ਡੋਮੇਨ ਨਾਮ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।
- T1046 (ਵੈੱਬ ਸੇਵਾ ਖੋਜ): ਹਮਲਾਵਰਾਂ ਨੇ ਨਿਸ਼ਾਨਾ ਡੋਮੇਨ ਨਾਲ ਜੁੜੇ ਖੁੱਲ੍ਹੇ ਪੋਰਟਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ।
- T1106 (ਨੇਟਿਵ ਇੰਟਰਫੇਸ): ਹਮਲਾਵਰਾਂ ਨੇ ਡੇਟਾਬੇਸ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ ClickHouse API ਦਾ ਲਾਭ ਉਠਾਇਆ।
- T1567 (ਵੈੱਬ ਸੇਵਾ ਰਾਹੀਂ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ): ਹਮਲਾਵਰਾਂ ਨੇ ਡੇਟਾ ਚੋਰੀ ਕਰਨ ਲਈ ClickHouse API ਦੀ ਵਰਤੋਂ ਕੀਤੀ।
ਘਟਨਾ 2: DeepSeek ਦਾ ਸਪਲਾਈ ਚੇਨ ਹਮਲਾ – ਕੋਡ ਵਿੱਚ ਇੱਕ ਟ੍ਰੋਜਨ ਹਾਰਸ
ਸਮਾਂਰੇਖਾ: 3 ਫਰਵਰੀ, 2025
ਲੀਕੇਜ ਦਾ ਪੈਮਾਨਾ: ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ ਅਤੇ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ।
ਘਟਨਾਵਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਨਾ:
ਹਮਲਾ 19 ਜਨਵਰੀ, 2025 ਨੂੰ ਸ਼ੁਰੂ ਹੋਇਆ, ਜਦੋਂ ਇੱਕ ਖਤਰਨਾਕ ਉਪਭੋਗਤਾ, ਜਿਸਦੀ ਪਛਾਣ “bvk” ਵਜੋਂ ਹੋਈ, ਨੇ “deepseek” ਅਤੇ “deepseekai” ਨਾਮ ਦੇ ਦੋ ਖਤਰਨਾਕ Python ਪੈਕੇਜਾਂ ਨੂੰ ਪ੍ਰਸਿੱਧ PyPI (Python Package Index) ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ ਅੱਪਲੋਡ ਕੀਤਾ।
Positive Technologies Expert Security Center (PT ESC) ਵਿਖੇ ਖਤਰੇ ਦੀ ਖੁਫੀਆ ਟੀਮ ਨੇ ਉਸੇ ਦਿਨ ਇਸ ਸ਼ੱਕੀ ਗਤੀਵਿਧੀ ਦਾ ਪਤਾ ਲਗਾਇਆ। ਉਹਨਾਂ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਪੈਕੇਜਾਂ ਦੇ ਖਤਰਨਾਕ ਸੁਭਾਅ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ, ਅਤੇ ਉਹਨਾਂ ਨੇ ਤੁਰੰਤ PyPI ਪ੍ਰਸ਼ਾਸਕਾਂ ਨੂੰ ਸੂਚਿਤ ਕੀਤਾ।
PyPI ਪ੍ਰਸ਼ਾਸਕਾਂ ਨੇ ਤੁਰੰਤ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੂੰ ਹਟਾ ਦਿੱਤਾ ਅਤੇ PT ESC ਨੂੰ ਸੂਚਿਤ ਕੀਤਾ। ਤੁਰੰਤ ਜਵਾਬ ਦੇ ਬਾਵਜੂਦ, ਅੰਕੜਿਆਂ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਕਿ ਮਾਲਵੇਅਰ ਨੂੰ ਵੱਖ-ਵੱਖ ਚੈਨਲਾਂ ਰਾਹੀਂ 17 ਦੇਸ਼ਾਂ ਵਿੱਚ 200 ਤੋਂ ਵੱਧ ਵਾਰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ। ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੂੰ ਬਾਅਦ ਵਿੱਚ ਅਲੱਗ ਕਰ ਦਿੱਤਾ ਗਿਆ ਸੀ।
ਹਮਲੇ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ:
“bvk” ਦੁਆਰਾ ਅੱਪਲੋਡ ਕੀਤੇ ਗਏ ਖਤਰਨਾਕ ਪੈਕੇਜ ਦੋ ਪ੍ਰਾਇਮਰੀ ਉਦੇਸ਼ਾਂ ‘ਤੇ ਕੇਂਦ੍ਰਿਤ ਸਨ: ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨਾ ਅਤੇ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲਾਂ ਨੂੰ ਚੋਰੀ ਕਰਨਾ। ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਸੀ ਜਿਵੇਂ ਕਿ ਡੇਟਾਬੇਸ ਪ੍ਰਮਾਣ ਪੱਤਰ, API ਕੁੰਜੀਆਂ, ਅਤੇ S3 ਆਬਜੈਕਟ ਸਟੋਰੇਜ ਲਈ ਐਕਸੈਸ ਪ੍ਰਮਾਣ ਪੱਤਰ। ਖਤਰਨਾਕ ਪੇਲੋਡ ਉਦੋਂ ਸ਼ੁਰੂ ਹੋਇਆ ਜਦੋਂ ਕਿਸੇ ਉਪਭੋਗਤਾ ਨੇ ਕਮਾਂਡ ਲਾਈਨ ਤੋਂ DeepSeek ਜਾਂ Deepseekai ਨੂੰ ਚਲਾਇਆ।
ਹਮਲਾਵਰ ਨੇ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ PipeDream ਨੂੰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਵਜੋਂ ਵਰਤਿਆ। ਘਟਨਾ ਕਈ ਯੋਗਦਾਨ ਪਾਉਣ ਵਾਲੇ ਕਾਰਕਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ:
- ਨਿਰਭਰਤਾ ਉਲਝਣ ਹਮਲਾ: ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ ਸੰਸਥਾ ਦੇ ਨਿੱਜੀ ਪੈਕੇਜਾਂ ਅਤੇ ਉਸੇ ਨਾਮ ਵਾਲੇ ਜਨਤਕ ਪੈਕੇਜਾਂ ਵਿਚਕਾਰ ਤਰਜੀਹ ਅੰਤਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ।
- ਪੈਕੇਜ ਨਾਮ ਦੀ ਨਕਲ: ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਧੋਖਾ ਦੇਣ ਲਈ, ਇੱਕ ਮਸ਼ਹੂਰ AI ਕੰਪਨੀ, DeepSeek ਦੇ ਬ੍ਰਾਂਡ ਨਾਮ ਦੀ ਨਕਲ ਕੀਤੀ।
- PyPI ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਕਮਜ਼ੋਰੀ: PyPI ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਡਿਵੈਲਪਰ ਪਛਾਣ ਅਤੇ ਪੈਕੇਜ ਨਾਮ ਦੀ ਜਾਇਜ਼ਤਾ ਦੀ ਪ੍ਰਭਾਵੀ ਤਸਦੀਕ ਦੀ ਘਾਟ ਸੀ।
- ਡਿਵੈਲਪਰ ਸੁਰੱਖਿਆ ਜਾਗਰੂਕਤਾ: ਡਿਵੈਲਪਰਾਂ ਨੇ ਗਲਤੀ ਨਾਲ ਸਮਾਨ ਨਾਮ ਵਾਲੇ ਖਤਰਨਾਕ ਪੈਕੇਜ ਸਥਾਪਤ ਕੀਤੇ ਹੋ ਸਕਦੇ ਹਨ।
VERIZON ਇਵੈਂਟ ਵਰਗੀਕਰਨ: ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ
MITRE ATT&CK ਫਰੇਮਵਰਕ ਮੈਪਿੰਗ:
- T1593.003 (ਓਪਨ ਵੈੱਬਸਾਈਟਾਂ/ਡੋਮੇਨਾਂ ਦੀ ਖੋਜ ਕਰੋ - ਜਨਤਕ ਤੌਰ ‘ਤੇ ਉਪਲਬਧ ਨਿਰਭਰਤਾ ਰਿਪੋਜ਼ਟਰੀ ਦੀ ਖੋਜ ਕਰੋ): ਹਮਲਾਵਰਾਂ ਨੇ PyPI ‘ਤੇ ਜਾਣਕਾਰੀ ਦੀ ਖੋਜ ਕੀਤੀ।
- T1195.002 (ਸਪਲਾਈ ਚੇਨ ਸਮਝੌਤਾ - ਸੌਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਨਾਲ ਸਮਝੌਤਾ): ਹਮਲਾਵਰਾਂ ਨੇ Python ਨਿਰਭਰਤਾਵਾਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਅਤੇ ਇਸਨੂੰ PyPI ‘ਤੇ ਅੱਪਲੋਡ ਕੀਤਾ।
- T1059.006 (ਕਮਾਂਡ ਅਤੇ ਸਕ੍ਰਿਪਟਿੰਗ ਇੰਟਰਪ੍ਰੇਟਰ - Python): ਹਮਲਾਵਰਾਂ ਨੇ ਪੈਕੇਜ ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਲਗਾਇਆ, ਜਿਸਨੂੰ ਚਲਾਉਣ ‘ਤੇ, ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਲੀਕ ਹੋ ਗਿਆ।
- T1041 (C2 ਚੈਨਲ ਉੱਤੇ ਐਕਸਫਿਲਟਰੇਸ਼ਨ): ਹਮਲਾਵਰਾਂ ਨੇ PipeDream C2 ਚੈਨਲ ਰਾਹੀਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਬਾਹਰ ਕੱਢਿਆ।
ਘਟਨਾ 3: LLM ਹਾਈਜੈਕਿੰਗ – DeepSeek ਨੂੰ ਸਰੋਤ ਚੋਰੀ ਲਈ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ
ਸਮਾਂਰੇਖਾ: 7 ਫਰਵਰੀ, 2025
ਲੀਕੇਜ ਦਾ ਪੈਮਾਨਾ: ਲਗਭਗ 2 ਬਿਲੀਅਨ ਮਾਡਲ ਟੋਕਨ ਗੈਰ-ਕਾਨੂੰਨੀ ਤੌਰ ‘ਤੇ ਵਰਤੇ ਗਏ।
ਘਟਨਾਵਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਨਾ:
Sysdig ਖਤਰੇ ਦੀ ਖੋਜ ਟੀਮ ਨੇ ਸ਼ੁਰੂ ਵਿੱਚ ਮਈ 2024 ਵਿੱਚ LLMs ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਇੱਕ ਨਵੇਂ ਹਮਲੇ ਦੀ ਖੋਜ ਕੀਤੀ, ਜਿਸਨੂੰ “LLM ਜੈਕਿੰਗ” ਜਾਂ “LLM ਹਾਈਜੈਕਿੰਗ” ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਸਤੰਬਰ 2024 ਤੱਕ, Sysdig ਨੇ ਇਹਨਾਂ ਹਮਲਿਆਂ ਦੀ ਵੱਧ ਰਹੀ ਬਾਰੰਬਾਰਤਾ ਅਤੇ ਪ੍ਰਚਲਨ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ, ਜਿਸ ਵਿੱਚ DeepSeek ਤੇਜ਼ੀ ਨਾਲ ਇੱਕ ਨਿਸ਼ਾਨਾ ਬਣ ਰਿਹਾ ਹੈ।
26 ਦਸੰਬਰ, 2024 ਨੂੰ, DeepSeek ਨੇ ਇੱਕ ਉੱਨਤ ਮਾਡਲ, DeepSeek-V3 ਜਾਰੀ ਕੀਤਾ। ਥੋੜ੍ਹੀ ਦੇਰ ਬਾਅਦ, Sysdig ਟੀਮ ਨੇ ਪਾਇਆ ਕਿ DeepSeek-V3 ਨੂੰ Hugging Face ‘ਤੇ ਹੋਸਟ ਕੀਤੇ ਇੱਕ OpenAI ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ (ORP) ਪ੍ਰੋਜੈਕਟ ਵਿੱਚ ਲਾਗੂ ਕੀਤਾ ਗਿਆ ਸੀ।
20 ਜਨਵਰੀ, 2025 ਨੂੰ, DeepSeek ਨੇ DeepSeek-R1 ਨਾਮਕ ਇੱਕ ਅਨੁਮਾਨ ਮਾਡਲ ਜਾਰੀ ਕੀਤਾ। ਅਗਲੇ ਹੀ ਦਿਨ, DeepSeek-R1 ਦਾ ਸਮਰਥਨ ਕਰਨ ਵਾਲਾ ਇੱਕ ORP ਪ੍ਰੋਜੈਕਟ ਪ੍ਰਗਟ ਹੋਇਆ, ਅਤੇ ਹਮਲਾਵਰਾਂ ਨੇ ਇਸਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰ ਦਿੱਤਾ, ਕਈ ORPs ਨੂੰ DeepSeek API ਕੁੰਜੀਆਂ ਨਾਲ ਭਰ ਦਿੱਤਾ।
Sysdig ਦੀ ਖੋਜ ਨੇ ਸੰਕੇਤ ਦਿੱਤਾ ਕਿ ORPs ਰਾਹੀਂ ਗੈਰ-ਕਾਨੂੰਨੀ ਤੌਰ ‘ਤੇ ਵਰਤੇ ਗਏ ਵੱਡੇ ਮਾਡਲ ਟੋਕਨਾਂ ਦੀ ਕੁੱਲ ਸੰਖਿਆ 2 ਬਿਲੀਅਨ ਤੋਂ ਵੱਧ ਗਈ ਹੈ।
ਹਮਲੇ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ:
LLM ਹਾਈਜੈਕਿੰਗ ਵਿੱਚ ਹਮਲਾਵਰ ਕਲਾਉਡ-ਹੋਸਟਡ LLM ਸੇਵਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਚੋਰੀ ਕੀਤੇ ਕਲਾਉਡ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ। ਹਮਲਾਵਰ ਇੱਕ OAI (OpenAI) ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਅਤੇ ਚੋਰੀ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੇ ਹਨ ਤਾਂ ਜੋ ਪੀੜਤ ਦੀਆਂ ਸਬਸਕ੍ਰਾਈਬ ਕੀਤੀਆਂ LLM ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਵੇਚੀ ਜਾ ਸਕੇ। ਇਸਦੇ ਨਤੀਜੇ ਵਜੋਂ ਪੀੜਤ ਲਈ ਮਹੱਤਵਪੂਰਨ ਕਲਾਉਡ ਸੇਵਾ ਖਰਚੇ ਹੁੰਦੇ ਹਨ।
OAI ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਕਈ LLM ਖਾਤਿਆਂ ਤੱਕ ਪਹੁੰਚ ਲਈ ਇੱਕ ਕੇਂਦਰੀ ਪ੍ਰਬੰਧਨ ਬਿੰਦੂ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਅੰਡਰਲਾਈੰਗ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਸਰੋਤ ਪੂਲ ਨੂੰ ਮਾਸਕ ਕਰਦਾ ਹੈ। ਹਮਲਾਵਰ DeepSeek ਵਰਗੇ ਮਹਿੰਗੇ LLMs ਦੀ ਵਰਤੋਂ ਉਹਨਾਂ ਲਈ ਭੁਗਤਾਨ ਕੀਤੇ ਬਿਨਾਂ ਕਰ ਸਕਦੇ ਹਨ, ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਰਾਹੀਂ ਬੇਨਤੀਆਂ ਨੂੰ ਨਿਰਦੇਸ਼ਤ ਕਰ ਸਕਦੇ ਹਨ, ਸਰੋਤਾਂ ਦੀ ਖਪਤ ਕਰ ਸਕਦੇ ਹਨ, ਅਤੇ ਜਾਇਜ਼ ਸੇਵਾ ਖਰਚਿਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਸਕਦੇ ਹਨ। ਪ੍ਰੌਕਸੀ ਵਿਧੀ ਹਮਲਾਵਰ ਦੀ ਪਛਾਣ ਨੂੰ ਲੁਕਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਉਹ ਬਿਨਾਂ ਪਤਾ ਲਗਾਏ ਕਲਾਉਡ ਸਰੋਤਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ।
ਜਦੋਂ ਕਿ OAI ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ LLM ਹਾਈਜੈਕਿੰਗ ਲਈ ਇੱਕ ਜ਼ਰੂਰੀ ਹਿੱਸਾ ਹੈ, ਮਹੱਤਵਪੂਰਨ ਤੱਤ ਵੱਖ-ਵੱਖ LLM ਸੇਵਾਵਾਂ ਲਈ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਅਤੇ ਕੁੰਜੀਆਂ ਦੀ ਚੋਰੀ ਹੈ। ਹਮਲਾਵਰ ਅਕਸਰ ਇਹਨਾਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਚੋਰੀ ਕਰਨ ਲਈ ਰਵਾਇਤੀ ਵੈੱਬ ਸੇਵਾ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਸੰਰਚਨਾ ਗਲਤੀਆਂ (ਜਿਵੇਂ ਕਿ Laravel ਫਰੇਮਵਰਕ ਵਿੱਚ CVE-2021-3129 ਕਮਜ਼ੋਰੀ) ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਪ੍ਰਾਪਤ ਹੋਣ ‘ਤੇ, ਇਹ ਪ੍ਰਮਾਣ ਪੱਤਰ Amazon Bedrock, Google Cloud Vertex AI, ਅਤੇ ਹੋਰਾਂ ਵਰਗੀਆਂ ਕਲਾਉਡ-ਅਧਾਰਤ LLM ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
Sysdig ਦੀ ਖੋਜ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਕਿ ਹਮਲਾਵਰ ਘੰਟਿਆਂ ਦੇ ਅੰਦਰ ਪੀੜਤਾਂ ਦੇ ਖਪਤ ਖਰਚਿਆਂ ਨੂੰ ਹਜ਼ਾਰਾਂ ਡਾਲਰ ਤੱਕ ਤੇਜ਼ੀ ਨਾਲ ਵਧਾ ਸਕਦੇ ਹਨ, ਅਤੇ ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਪ੍ਰਤੀ ਦਿਨ $100,000 ਤੱਕ। ਹਮਲਾਵਰਾਂ ਦੀ ਪ੍ਰੇਰਣਾ ਡੇਟਾ ਪ੍ਰਾਪਤੀ ਤੋਂ ਪਰੇ ਹੈ; ਉਹ ਪਹੁੰਚ ਅਧਿਕਾਰ ਵੇਚ ਕੇ ਵੀ ਲਾਭ ਕਮਾਉਂਦੇ ਹਨ।
VERIZON ਇਵੈਂਟ ਵਰਗੀਕਰਨ: ਬੇਸਿਕ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨ ਹਮਲੇ
MITRE ATT&CK ਫਰੇਮਵਰਕ ਮੈਪਿੰਗ:
- T1593 (ਓਪਨ ਵੈੱਬਸਾਈਟਾਂ/ਡੋਮੇਨਾਂ ਦੀ ਖੋਜ ਕਰੋ): ਹਮਲਾਵਰਾਂ ਨੇ OSINT (ਓਪਨ-ਸੋਰਸ ਇੰਟੈਲੀਜੈਂਸ) ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਐਕਸਪੋਜ਼ਡ ਸੇਵਾਵਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ ਕੀਤੀ।
- T1133 (ਬਾਹਰੀ ਰਿਮੋਟ ਸੇਵਾਵਾਂ): ਹਮਲਾਵਰਾਂ ਨੇ ਐਕਸਪੋਜ਼ਡ ਸੇਵਾਵਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ।
- T1586.003 (ਖਾਤਿਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰੋ - ਕਲਾਉਡ ਖਾਤੇ): ਹਮਲਾਵਰਾਂ ਨੇ LLM ਸੇਵਾ ਜਾਂ ਕਲਾਉਡ ਸੇਵਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਚੋਰੀ ਕਰਨ ਲਈ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ।
- T1588.002 (ਸਮਰੱਥਾਵਾਂ ਪ੍ਰਾਪਤ ਕਰੋ - ਟੂਲ): ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ ਓਪਨ-ਸੋਰਸ OAI ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਟੂਲ ਤੈਨਾਤ ਕੀਤਾ।
- T1090.002 (ਪ੍ਰੌਕਸੀ - ਬਾਹਰੀ ਪ੍ਰੌਕਸੀ): ਹਮਲਾਵਰਾਂ ਨੇ ਕਈ LLM ਖਾਤਿਆਂ ਤੱਕ ਪਹੁੰਚ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਲਈ OAI ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਸੌਫਟਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।
- T1496 (ਸਰੋਤ ਹਾਈਜੈਕਿੰਗ): ਹਮਲਾਵਰਾਂ ਨੇ LLM ਸਰੋਤਾਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਲਈ ਇੱਕ LLM ਇੰਜੈਕਸ਼ਨ ਹਮਲਾ ਸ਼ੁਰੂ ਕੀਤਾ।
ਘਟਨਾ 4: OmniGPT ਡੇਟਾ ਉਲੰਘਣਾ – ਉਪਭੋਗਤਾ ਡੇਟਾ ਡਾਰਕ ਵੈੱਬ ‘ਤੇ ਵੇਚਿਆ ਗਿਆ
ਸਮਾਂਰੇਖਾ: 12 ਫਰਵਰੀ, 2025
ਲੀਕੇਜ ਦਾ ਪੈਮਾਨਾ: 30,000 ਤੋਂ ਵੱਧ ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਨਿੱਜੀ ਜਾਣਕਾਰੀ, ਜਿਸ ਵਿੱਚ ਈਮੇਲ, ਫ਼ੋਨ ਨੰਬਰ, API ਕੁੰਜੀਆਂ, ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ, ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ ਬਿਲਿੰਗ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਹੈ।
ਘਟਨਾਵਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਨਾ:
12 ਫਰਵਰੀ, 2025 ਨੂੰ, “SyntheticEmotions” ਨਾਮ ਦੇ ਇੱਕ ਉਪਭੋਗਤਾ ਨੇ BreachForums ‘ਤੇ ਪੋਸਟ ਕੀਤਾ, ਜਿਸ ਵਿੱਚ OmniGPT ਪਲੇਟਫਾਰਮ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਚੋਰੀ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਵਿਕਰੀ ਲਈ ਪੇਸ਼ ਕਰਨ ਦਾ ਦਾਅਵਾ ਕੀਤਾ ਗਿਆ। ਲੀਕ ਹੋਏ ਡੇਟਾ ਵਿੱਚ ਕਥਿਤ ਤੌਰ ‘ਤੇ 30,000 ਤੋਂ ਵੱਧ OmniGPT ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਈਮੇਲ, ਫ਼ੋਨ ਨੰਬਰ, API ਕੁੰਜੀਆਂ, ਐਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ, ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ ਬਿਲਿੰਗ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਸੀ, ਨਾਲ ਹੀ ਚੈਟਬੋਟਸ ਨਾਲ ਉਹਨਾਂ ਦੀਆਂ 34 ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਲਾਈਨਾਂ ਦੀਆਂ ਗੱਲਬਾਤਾਂ ਵੀ ਸ਼ਾਮਲ ਸਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪਲੇਟਫਾਰਮ ‘ਤੇ ਅੱਪਲੋਡ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਦੇ ਲਿੰਕਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਕੁਝ ਵਿੱਚ ਵਾਊਚਰ ਅਤੇ ਬਿਲਿੰਗ ਡੇਟਾ ਵਰਗੀ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਸੀ।
ਹਮਲੇ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ:
ਜਦੋਂ ਕਿ ਸਹੀ ਹਮਲੇ ਦੇ ਵੈਕਟਰ ਦਾ ਖੁਲਾਸਾ ਨਹੀਂ ਕੀਤਾਗਿਆ ਹੈ, ਲੀਕ ਹੋਏ ਡੇਟਾ ਦੀ ਕਿਸਮ ਅਤੇ ਦਾਇਰਾ ਕਈ ਸੰਭਾਵਨਾਵਾਂ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ: SQL ਇੰਜੈਕਸ਼ਨ, API ਦੁਰਵਰਤੋਂ, ਜਾਂ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਹਮਲਿਆਂ ਨੇ ਹਮਲਾਵਰ ਨੂੰ ਬੈਕਐਂਡ ਡੇਟਾਬੇਸ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕੀਤੀ ਹੋ ਸਕਦੀ ਹੈ। ਇਹ ਵੀ ਸੰਭਵ ਹੈ ਕਿ OmniGPT ਪਲੇਟਫਾਰਮ ਵਿੱਚ ਗਲਤ ਸੰਰਚਨਾਵਾਂ ਜਾਂ ਕਮਜ਼ੋਰੀਆਂ ਸਨ ਜਿਨ੍ਹਾਂ ਨੇ ਹਮਲਾਵਰ ਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਅਤੇ ਉਪਭੋਗਤਾ ਜਾਣਕਾਰੀ ਵਾਲੇ ਡੇਟਾਬੇਸ ਤੱਕ ਸਿੱਧੀ ਪਹੁੰਚ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ।
ਸੈਕੰਡਰੀ ਲੀਕ ਵਿੱਚ ਸ਼ਾਮਲ “Messages.txt” ਫਾਈਲ ਵਿੱਚ API ਕੁੰਜੀਆਂ, ਡੇਟਾਬੇਸ ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ ਭੁਗਤਾਨ ਕਾਰਡ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਸੀ, ਜੋ ਸੰਭਾਵੀ ਤੌਰ ‘ਤੇ ਹੋਰ ਸਿਸਟਮਾਂ ਵਿੱਚ ਹੋਰ ਘੁਸਪੈਠ ਜਾਂ ਡੇਟਾ ਨਾਲ ਛੇੜਛਾੜ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦੀ ਹੈ। ਪਲੇਟਫਾਰਮ ਉਪਭੋਗਤਾਵਾਂ ਦੁਆਰਾ ਅੱਪਲੋਡ ਕੀਤੇ ਗਏ ਕੁਝ ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਕਾਰੋਬਾਰੀ ਭੇਦ ਅਤੇ ਪ੍ਰੋਜੈਕਟ ਡੇਟਾ ਸ਼ਾਮਲ ਸੀ, ਜੇਕਰ ਦੁਰਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਤਾਂ ਕਾਰੋਬਾਰੀ ਸੰਚਾਲਨ ਲਈ ਖਤਰਾ ਪੈਦਾ ਹੁੰਦਾ ਹੈ। ਇਹ ਘਟਨਾ AI ਅਤੇ ਵੱਡੇ ਡੇਟਾ ਸੈਕਟਰਾਂ ਦੇ ਅੰਦਰ ਵਧੇ ਹੋਏ ਡੇਟਾ ਸੁਰੱਖਿਆ ਅਤੇ ਗੋਪਨੀਯਤਾ ਸੁਰੱਖਿਆ ਦੀ ਲੋੜ ਦੀ ਇੱਕ ਸਪੱਸ਼ਟ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ। ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਹਨਾਂ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਸਮੇਂ ਬਹੁਤ ਸਾਵਧਾਨੀ ਵਰਤਣੀ ਚਾਹੀਦੀ ਹੈ, ਅਤੇ ਸੰਸਥਾਵਾਂ ਨੂੰ ਸਖਤ ਡੇਟਾ ਵਰਤੋਂ ਨੀਤੀਆਂ ਸਥਾਪਤ ਕਰਨੀਆਂ ਚਾਹੀਦੀਆਂ ਹਨ, ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਲਈ ਐਨਕ੍ਰਿਪਸ਼ਨ, ਡੇਟਾ ਘੱਟ ਕਰਨਾ, ਅਤੇ ਅਗਿਆਤਕਰਨ ਵਰਗੇ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਅਜਿਹਾ ਕਰਨ ਵਿੱਚ ਅਸਫਲ ਰਹਿਣ ਨਾਲ ਮਹੱਤਵਪੂਰਨ ਕਾਨੂੰਨੀ, ਵੱਕਾਰੀ, ਅਤੇ ਆਰਥਿਕ ਨਤੀਜੇ ਹੋ ਸਕਦੇ ਹਨ।
VERIZON ਇਵੈਂਟ ਵਰਗੀਕਰਨ: ਫੁਟਕਲ ਗਲਤੀਆਂ
MITRE ATT&CK ਫਰੇਮਵਰਕ ਮੈਪਿੰਗ:
- T1071.001 (ਐਪਲੀਕੇਸ਼ਨ ਲੇਅਰ ਪ੍ਰੋਟੋਕੋਲ - ਵੈੱਬ ਪ੍ਰੋਟੋਕੋਲ): ਹਮਲਾਵਰਾਂ ਨੇ OmniGPT ਦੇ ਵੈੱਬ ਇੰਟਰਫੇਸ ਰਾਹੀਂ ਲੀਕ ਹੋਈ ਉਪਭੋਗਤਾ ਜਾਣਕਾਰੀ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ ਹੋ ਸਕਦੀ ਹੈ।
- T1071.002 (ਐਪਲੀਕੇਸ਼ਨ ਲੇਅਰ ਪ੍ਰੋਟੋਕੋਲ - ਐਪਲੀਕੇਸ਼ਨ ਪ੍ਰੋਗਰਾਮਿੰਗ ਇੰਟਰਫੇਸ): ਲੀਕ ਹੋਈਆਂ API ਕੁੰਜੀਆਂ ਅਤੇ ਡੇਟਾਬੇਸ ਪ੍ਰਮਾਣ ਪੱਤਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਪਲੇਟਫਾਰਮ ਦੇ API ਰਾਹੀਂ ਸਿਸਟਮ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਅਤੇ ਅਣਅਧਿਕਾਰਤ ਕਾਰਵਾਈਆਂ ਕਰਨ ਦੀ ਆਗਿਆ ਦੇ ਸਕਦੇ ਹਨ।
- T1071.002 (ਐਪਲੀਕੇਸ਼ਨ ਲੇਅਰ ਪ੍ਰੋਟੋਕੋਲ - ਸੇਵਾ ਐਗਜ਼ੀਕਿਊਸ਼ਨ): ਹਮਲਾਵਰ ਕਮਾਂਡਾਂ ਜਾਂ ਪ੍ਰੋਗਰਾਮਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਸਿਸਟਮ ਸੇਵਾਵਾਂ ਜਾਂ ਡੈਮਨਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਨ।
- T1020.003 (ਆਟੋਮੇਟਿਡ ਐਕਸਫਿਲਟਰੇਸ਼ਨ - ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ): ਲੀਕ ਹੋਈਆਂ ਫਾਈਲ ਲਿੰਕ ਅਤੇ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਅੱਪਲੋਡ ਕੀਤੀਆਂ ਸੰਵੇਦਨਸ਼ੀਲ ਫਾਈਲਾਂ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਡਾਊਨਲੋਡ ਕਰਨ, ਬਾਅਦ ਦੇ ਹਮਲਿਆਂ ਲਈ ਵਧੇਰੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਨਿਸ਼ਾਨਾ ਹੋ ਸਕਦੀਆਂ ਹਨ।
- T1083 (ਫਾਈਲ ਅਤੇ ਡਾਇਰੈਕਟਰੀ ਖੋਜ): ਹਮਲਾਵਰ ਲੀਕ ਹੋਈ ਜਾਣਕਾਰੀ ਦੀ ਵਰਤੋਂ ਮੁੱਖ ਕਾਰੋਬਾਰੀ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਰ ਸਕਦੇ ਹਨ।
ਘਟਨਾ 5: ਕਾਮਨ ਕ੍ਰੌਲ ਵਿੱਚ DeepSeek ਪ੍ਰਮਾਣ ਪੱਤਰ ਲੀਕ ਹੋਏ – ਹਾਰਡ-ਕੋਡਿੰਗ ਦੇ ਖਤਰੇ
ਸਮਾਂਰੇਖਾ: 28 ਫਰਵਰੀ, 2025
ਲੀਕੇਜ ਦਾ ਪੈਮਾਨਾ: ਲਗਭਗ 11,908 ਵੈਧ DeepSeek API ਕੁੰਜੀਆਂ, ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨ।
ਘਟਨਾਵਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਨਾ:
Truffle ਸੁਰੱਖਿਆ ਟੀਮ ਨੇ ਕਾਮਨ ਕ੍ਰੌਲ, ਇੱਕ ਕ੍ਰੌਲਰ ਡੇਟਾਬੇਸ ਜਿਸ ਵਿੱਚ 47.5 ਮਿਲੀਅਨ ਹੋਸਟਾਂ ਤੋਂ 2.67 ਬਿਲੀਅਨ ਵੈੱਬ ਪੇਜ ਸ਼ਾਮਲ ਹਨ, ਵਿੱਚ ਦਸੰਬਰ 2024 ਤੋਂ 400 TB ਡੇਟਾ ਨੂੰ ਸਕੈਨ ਕਰਨ ਲਈ ਓਪਨ-ਸੋਰਸ ਟੂਲ TruffleHog ਦੀ ਵਰਤੋਂ ਕੀਤੀ। ਸਕੈਨ ਨੇ ਇੱਕ ਹੈਰਾਨ ਕਰਨ ਵਾਲਾ ਖੁਲਾਸਾ ਕੀਤਾ: ਲਗਭਗ 11,908 ਵੈਧ DeepSeek API ਕੁੰਜੀਆਂ, ਪ੍ਰਮਾਣ ਪੱਤਰ, ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਟੋਕਨਾਂ ਨੂੰ ਸਿੱਧੇ ਤੌਰ ‘ਤੇ ਕਈ ਵੈੱਬ ਪੇਜਾਂ ਵਿੱਚ ਹਾਰਡ-ਕੋਡ ਕੀਤਾ ਗਿਆ ਸੀ।
ਅਧਿਐਨ ਨੇ Mailchimp API ਕੁੰਜੀਆਂ ਦੇ ਲੀਕੇਜ ਨੂੰ ਵੀ ਉਜਾਗਰ ਕੀਤਾ, ਜਿਸ ਵਿੱਚ ਲਗਭਗ 1,500 ਕੁੰਜੀਆਂ JavaScript ਕੋਡ ਵਿੱਚ ਹਾਰਡ-ਕੋਡ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ। Mailchimp API ਕੁੰਜੀਆਂ ਨੂੰ ਅਕਸਰ ਫਿਸ਼ਿੰਗ ਅਤੇ ਡੇਟਾ ਚੋਰੀ ਦੇ ਹਮਲਿਆਂ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
ਹਮਲੇ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ:
ਕਾਮਨ ਕ੍ਰੌਲ, ਇੱਕ ਗੈਰ-ਲਾਭਕਾਰੀ ਵੈੱਬ ਕ੍ਰੌਲਰ ਡੇਟਾਬੇਸ, ਨਿਯਮਿਤ ਤੌਰ ‘ਤੇ ਇੰਟਰਨੈਟ ਪੇਜਾਂ ਤੋਂ ਡੇਟਾ ਕੈਪਚਰ ਕਰਦਾ ਹੈ ਅਤੇ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਇਸ ਡੇਟਾ ਨੂੰ WARC (ਵੈੱਬ ਆਰਕਾਈਵ) ਫਾਈਲਾਂ ਵਿੱਚ ਸਟੋਰ ਕਰਦਾ ਹੈ, ਅਸਲ HTML, JavaScript ਕੋਡ, ਅਤੇ ਸਰਵਰ ਜਵਾਬਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਰੱਖਦਾ ਹੈ। ਇਹ ਡੇਟਾਸੈੱਟ ਅਕਸਰ AI ਮਾਡਲਾਂ ਨੂੰ ਸਿਖਲਾਈ ਦੇਣ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਹਨ। Truffle ਦੀ ਖੋਜ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਮੁੱਦੇ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ: ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਵਾਲੇ ਕਾਰਪੋਰਾ ‘ਤੇ ਮਾਡਲਾਂ ਨੂੰ ਸਿਖਲਾਈ ਦੇਣ ਨਾਲ ਮਾਡਲਾਂ ਨੂੰ ਉਹ ਕਮਜ਼ੋਰੀਆਂ ਵਿਰਾਸਤ ਵਿੱਚ ਮਿਲ ਸਕਦੀਆਂ ਹਨ। ਭਾਵੇਂ DeepSeek ਵਰਗੇ LLMs ਸਿਖਲਾਈ ਅਤੇ ਤੈਨਾਤੀ ਦੌਰਾਨ ਵਾਧੂ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਲਾਗੂ ਕਰਦੇ ਹਨ, ਸਿਖਲਾਈ ਡੇਟਾ ਵਿੱਚ ਹਾਰਡ-ਕੋਡ ਕੀਤੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਵਿਆਪਕ ਮੌਜੂਦਗੀ ਮਾਡਲਾਂ ਲਈ ਅਜਿਹੇ “ਅਸੁਰੱਖਿਅਤ” ਅਭਿਆਸਾਂ ਨੂੰ ਸਧਾਰਣ ਬਣਾ ਸਕਦੀ ਹੈ।
ਹਾਰਡ-ਕੋਡਿੰਗ, ਇੱਕ ਆਮ ਪਰ ਅਸੁਰੱਖਿਅਤ ਕੋਡਿੰਗ ਅਭਿਆਸ, ਇੱਕ ਵਿਆਪਕ ਸਮੱਸਿਆ ਹੈ। ਜਦੋਂ ਕਿ ਮੂਲ ਕਾਰਨ ਸਧਾਰਨ ਹੈ, ਜੋਖਮ ਗੰਭੀਰ ਹਨ: ਡੇਟਾ ਉਲੰਘਣਾ, ਸੇਵਾ ਵਿੱਚ ਵਿਘਨ, ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ, ਅਤੇ, LLMs ਦੇ ਵਾਧੇ ਦੇ ਨਾਲ, ਇੱਕ ਨਵਾਂ ਖਤਰਾ – LLM ਹਾਈਜੈਕਿੰਗ। ਜਿਵੇਂ ਕਿ ਪਹਿ