חברת הסטארט-אפ הישראלית Oxeye המתמחה בזיהוי בעיות אבטחה בקוד של אפליקציות ומערכות ענן מבוזרות, חשף פרצת אבטחה חמורה (ציון 9.8 מתוך 10) בפרויקט הפופולארי והמוכר Backstage של חברת Spotify.

ניצול חולשת האבטחה שהתגלתה מאפשר פריצה למערכות הפיתוח של הארגונים המשתמשים בפרויקט ועלול לגרום לנזק אדיר עבור לקוחות החברות ועובדיהן, לרבות הדלפת מידע פנימי רגיש.

פרויקט Backstage הוא פלטפורמת הקוד הפתוח הפופולארית ביותר לבניית פורטלים למפתחים והוא מדורג עם למעלה מ-19,000 כוכבים ב-GitHub. המערכת נמצאת בשימוש נרחב על ידי חברות ענק ישראליות וזרות וביניהן: Spotify, American Airlines, Netflix, Splunk, Fidelity Investments, Epic Games, Palo Alto Networks ורבות אחרות. הפרויקט נחשב לפרויקט מוביל בארגון ה-CNCF (Cloud Native Computing Foundation) 

חוקרי חברת Oxeye שיתפו את Spotify במידע על חולשות האבטחה ופעלו בשיתוף פעולה עימה במטרה לתקן את הפרצות בהקדם האפשרי. בעקבות המקרה, Spotify הפיצה ללקוחותיה עדכון גרסה 1.5.1 של Backstage שסוגר את הפרצה ומאפשר ללקוחות להשתמש בפרויקט ללא סכנה.

"אם אתם משתמשים במנועי טמפלטים באפליקציה, חשוב לוודא כי נעשה שימוש בטוח. מנועי טמפלטים חזקים הם שימושיים ביותר אבל עלולים ליצור סיכון לארגון", מסביר גל גולדשטיין, חוקר אבטחה בכיר ב-Oxeye. "אם אתם משתמשים ב-Backstage, אנחנו ממליצים מאד לעדכן אותו לגרסה האחרונה כדי להתגונן נגד הפגיעות הזו בהקדם האפשרי".

יובל אוסטרובסקי, ארכיטקט תוכנה ב-Oxeye הוסיף כי "חולשות קריטיות באפליקציות cloud native כמו במקרה המדובר נעשות נרחבות יותר עם הזמן, וקריטי לפתור את הבעיות הללו לפני שיהיה מאוחר מידי ומידע רגיש ייחשף. אנחנו עובדים באופן תמידי על איתור בעיות אבטחה בפרויקטים נפוצים על מנת לעזור לקהילת הקוד הפיתוח באמצעות הידע הנרחב שקיים אצלנו בחברה". 

עוד ב-

רשמית: ספוטיפיי מקפיצה את המחיר, ותוקפת את אפל

לכתבה המלאה

חברת Oxeye הוקמה ב-2021 על ידי המנכ"ל דין אגרון וסמנכ"ל הטכנולוגיה רון וידר. המערכת של Oxeye מאפשרת למפתחים ולאנשי אבטחה לאתר ולפתור חולשות אבטחה עוד במהלך תהליך הפיתוח, ומאפשרת הוצאה לאור של אפליקציות ענניות מאובטחות מהרגע הראשון. ככל שהשימוש בשיטות פיתוח חדשניות בענן גובר, כך גובר הצורך במציאת פתרון אבטחה יעיל לאיתור חולשות כבר בשלבים המוקדמים של בניית האפליקציה. בחברה השקיעו  הקרנות: Intel Capital, Dell Technologies Capital, MoreVC, Merlin Ventures, i3 Equity Partners ומשקיעים פרטיים נוספים מתחום הסייבר.