Bazı siber saldırganlar web serverlarına yanlışlıkla yüklenmiş ve savunmasız bazı ENV dosyalarına erişmek için son 2-3 yıldır internette geniş bir tarama yapıyor.
Environment (ENV) yani çevre dosyaları, geliştirici aygıtları tarafından kullanılan konfigürasyon dosyalarıdır. Docker, Node.js, Symfony ve Django gibi frameworkler; API tokenları, şifreler ve veri tabanı girişlerini depolamak için ENV dosyaları kullanırlar.
İçerdikleri verinin doğası gereği ENV dosyaları her zaman şifreli klasörlerde saklanmalıdır. Zira ENV dosyalarına erişen hackerlar bir yazılımı her türlü amaç için kötüye kullanabilirler.
Yanlışlıkla upload edilen SSH anahtarları ve GIT konfigürasyon dosyalarını bulmak için taramalar yapan botnerlerin varlığı zaten birçok yazılımcı tarafından biliniyor. Lakin ENV dosyaları da diğer iki dosya kadar çok taranıyor. Güvenlik şirketi Greynoise’e göre, geçtiğimiz 3 yıl içerisinde 2800’den fazla IP adresi tüm internette ENV dosyaları için tarama yapmış. Sadece geçtiğimiz ay 1100 tarayıcının aktif olduğu tespit edilmiş.
Benzer taramalar Bad Packets adlı siber güvenlik şirketi tarafından da gözlemleniş. Uzmanların söylediğine göre, hackerlar ENV dosyalarını bulup download ettikten sonra kişisel bilgilere ulaşıyorlar. Böylece bir şirketin veri tabanlarına erişip fikri mülkiyetleri ve meslek sırlarını çalabiliyor, ransomware saldırıları yapabiliyorlar. Hatta kripto para madenciliği için malware yüklemek bile sıradanlaşmış diyebiliriz.
Tüm firmaların ENV dosyalarını kontrol etmeleri ve kullanıcı şifrelerini her ihtimale karşı değiştirmeleri tavsiye ediliyor.
