कैसे एक सिंगल GitHub टोकन ने एक वैश्विक फार्मा दिग्गज की सुरक्षा घेरे को भेद दिया

नोवो नॉर्डिस्क (Novo Nordisk) एक बहु-स्तरीय सुरक्षा बुनियादी ढांचा बनाए रखता है। कंपनी उन्नत एंडपॉइंट डिटेक्शन, नेटवर्क सेगमेंटेशन और एक समर्पित सुरक्षा संचालन केंद्र का उपयोग करती है। इन सुरक्षा प्रणालियों पर सालाना लाखों डॉलर खर्च होते हैं। फिर भी, एक सार्वजनिक वेबसाइट पर मौजूद एक साधारण टेक्स्ट स्ट्रिंग के कारण पूरा आर्किटेक्चर ढह गया। डेनिश फार्मास्युटिकल दिग्गज में हुई यह सेंधमारी आधुनिक सॉफ्टवेयर विकास के आर्किटेक्चरल विरोधाभास का एक केस स्टडी है। पेरिमीटर डिफेंस (सुरक्षा घेरे) में भारी निवेश विफल हो गया क्योंकि एक गलत जगह पर एक सिंगल ऑथेंटिकेशन टोकन मौजूद था।

मैंने वर्षों तक सिग्नल और PGP-एन्क्रिप्टेड चैनलों पर सुरक्षा शोधकर्ताओं के साथ संवाद किया है। उनमें से अधिकांश सुरक्षित फायरवॉल में जटिल जीरो-डे कमजोरियों की तलाश नहीं करते हैं। वे सबसे कम प्रतिरोध वाले रास्ते की तलाश करते हैं। नोवो नॉर्डिस्क की घटना में, वह रास्ता एक उच्च-विशेषाधिकार प्राप्त GitHub पर्सनल एक्सेस टोकन (PAT) था, जिसे एक अस्पष्ट सबडोमेन पर क्लाइंट-साइड जावास्क्रिप्ट में छोड़ दिया गया था। यह कोई परिष्कृत हैक नहीं था। यह खोज का एक अभ्यास था। एक बार जब फुलक्रमसेक (FulcrumSec) नामक थ्रेट ग्रुप को मार्च में टोकन मिल गया, तो औपचारिक सुरक्षा घेरा अप्रासंगिक हो गया। टोकन ने प्रमाणित पहुंच प्रदान की। आंतरिक प्रणालियों के लिए, हमलावर वैध डेवलपर्स थे।

एक शांत घुसपैठ की शारीरिक रचना

फुलक्रमसेक ने पकड़े जाने से पहले दो महीने से अधिक समय तक नोवो नॉर्डिस्क नेटवर्क के अंदर काम किया। इस अवधि के दौरान, समूह ने निजी रिपॉजिटरी को क्लोन करने के लिए प्रारंभिक GitHub टोकन का उपयोग किया। इन रिपॉजिटरी में केवल कोड से कहीं अधिक था। उनमें सेकेंडरी क्रेडेंशियल, इंफ्रास्ट्रक्चर परिभाषाएं और आंतरिक दस्तावेज़ शामिल थे। यह आधुनिक घुसपैठ में एक सामान्य पैटर्न है। एक हमलावर अधिक शक्तिशाली रहस्यों को हासिल करने के लिए एक छोटे से पैर जमाने की जगह (foothold) का उपयोग करता है। जब उनके पास मुख्य दरवाजे की चाबियां होती हैं, तो उन्हें सॉफ्टवेयर बग का फायदा उठाने की जरूरत नहीं होती है।

जब तक नोवो नॉर्डिस्क ने 11 जून को घटना का खुलासा किया, तब तक हमलावरों ने 1.3TB डेटा निकाल लिया था। इस कैश में 700,000 फाइलें शामिल थीं। हालांकि कंपनी ने शुरू में प्रभाव को छद्म नाम वाले रोगी डेटा और स्वास्थ्य देखभाल पेशेवर रिकॉर्ड तक सीमित बताया था, वास्तविकता अधिक गंभीर प्रतीत होती है। चोरी किए गए डेटा में विपणन और गैर-रिलीज़ दवाओं, नैदानिक परीक्षण अनुसंधान और आंतरिक AI मॉडल पर मालिकाना जानकारी शामिल है। फुलक्रमसेक का दावा है कि यह जानकारी प्रतिस्पर्धियों के विकास समय के तीन से पांच साल बचा सकती है। यह एक सिस्टमिक विफलता की परिभाषा है। यह उल्लंघन एक साधारण लीक हुए टोकन से शुरू होकर मुख्य बौद्धिक संपदा की हानि तक पहुँच गया।

विकास पाइपलाइन उत्पादन प्रणाली क्यों हैं

विकास प्लेटफॉर्म आधुनिक उद्यम में सबसे अधिक मूल्यवान प्रणालियां हैं। अधिकांश सुरक्षा कार्यक्रम इस वास्तविकता को पहचानने में विफल रहते हैं। कोड रिपॉजिटरी अब टेक्स्ट फाइलों के लिए एक साधारण स्टोरेज बिन नहीं है। यह पूरे डिजिटल वातावरण का खाका है। यह क्लाउड वातावरण के कॉन्फ़िगरेशन और डिप्लॉयमेंट पाइपलाइनों को रखता है जो ग्राहकों तक कोड पहुंचाते हैं। जब कोई हमलावर रिपॉजिटरी तक पहुंच प्राप्त करता है, तो वे संगठन की वायरिंग देखते हैं।

मैग्ना5 (Magna5) के मुख्य सूचना सुरक्षा अधिकारी मैट किम्पेल नोट करते हैं कि डेवलपर्स के पास उन प्रणालियों तक स्थायी पहुंच होती है जो सबसे अधिक मायने रखती हैं। उनके पास बिल्ड पाइपलाइनों और क्लाउड वातावरण के लिए क्रेडेंशियल होते हैं। ये प्रणालियां उत्पादन वातावरण के अपस्ट्रीम में हैं। यदि कोई हमलावर कोड के संकलित होने से पहले उससे समझौता करता है, तो वे अंतिम उत्पाद को नियंत्रित करते हैं। यह डेवलपर वर्कस्टेशन और रिपॉजिटरी को उत्पादन सर्वर से अधिक महत्वपूर्ण बनाता है। शाखा अनुमोदन और कोड समीक्षा जैसे पारंपरिक सुरक्षा उपाय यह मान लेते हैं कि कार्रवाई करने वाला व्यक्ति एक विश्वसनीय कर्मचारी है। यदि पहचान (identity) से समझौता किया जाता है, तो वही नियंत्रण हमले को सुगम बनाते हैं।

मशीन पहचान का अदृश्य जोखिम

संगठन सीक्रेट्स मैनेजमेंट को एक टूलिंग समस्या के रूप में देखते हैं। वे एक वॉल्ट खरीदते हैं और मान लेते हैं कि समस्या हल हो गई है। नोवो नॉर्डिस्क की घटना साबित करती है कि सीक्रेट्स मैनेजमेंट एक पहचान (identity) की समस्या है। लीक हुआ GitHub टोकन एक मशीन पहचान है। मानवीय खातों के विपरीत, मशीन क्रेडेंशियल्स में अक्सर स्पष्ट मालिकों की कमी होती है। उनके पास निरंतर रोटेशन शेड्यूल नहीं होता है। उनमें अक्सर सार्थक निगरानी की कमी होती है। ये टोकन बिना किसी बदलाव के महीनों या वर्षों तक बने रहते हैं।

कीपर सिक्योरिटी के CISO शेन बार्नी बताते हैं कि यह अदृश्यता एक सिंगल टोकन को दीर्घकालिक घुसपैठ में बदल देती है। जब एक मशीन क्रेडेंशियल में व्यापक अनुमतियां होती हैं और कोई इसके उपयोग की निगरानी नहीं करता है, तो हमलावर को विशेषाधिकार बढ़ाने की आवश्यकता नहीं होती है। पहुंच पहले से ही वहां है। ब्लास्ट रेडियस पूरा वातावरण है। यही कारण है कि हमलावर 60 दिनों तक नहीं पकड़े गए। वे सिस्टम को तोड़ नहीं रहे थे। वे सिस्टम का उपयोग वैसे ही कर रहे थे जैसे इसे उपयोग करने के लिए डिज़ाइन किया गया था।

माध्यमिक थ्रेट एक्टर्स का उदय

TheUSERS007 नामक एक दूसरे थ्रेट ग्रुप ने भी 5 जून से 7 जून के बीच नोवो नॉर्डिस्क सिस्टम तक पहुंच का दावा किया। इस समूह ने AI अनुसंधान से संबंधित डेटा को लक्षित किया। इससे पता चलता है कि एक बार बड़ा लीक होने के बाद, अन्य एक्टर्स उसी बुनियादी ढांचे की जांच करना शुरू कर देते हैं। विकास पाइपलाइन में एक एकल भेद्यता अक्सर व्यापक प्रणालीगत कमजोरियों का संकेत देती है। यदि एक डेवलपर सार्वजनिक स्क्रिप्ट में टोकन छोड़ देता है, तो अन्य डेवलपर्स भी इसी तरह के असुरक्षित पैटर्न का पालन कर सकते हैं। अटैक सरफेस एक स्थिर नक्शा नहीं है। यह एक गतिशील वातावरण है जहां एक गलती कई विरोधियों से और अधिक जांच को आमंत्रित करती है।

यह माध्यमिक घुसपैठ आंतरिक AI मॉडल के जोखिम को उजागर करती है। ये मॉडल फार्मास्युटिकल अनुसंधान के भविष्य का प्रतिनिधित्व करते हैं। वे वर्षों के मालिकाना डेटा और भारी कम्प्यूटेशनल निवेश पर बने हैं। इन मॉडलों का नुकसान केवल डेटा उल्लंघन नहीं है। यह प्रतिस्पर्धात्मक लाभ की हानि है। डिजिटल वातावरण में कोई भौतिक दीवारें नहीं होती हैं। एक बार जब सोर्स कोड और मॉडल वेट के माध्यम से सिस्टम का लॉजिक उजागर हो जाता है, तो नुकसान स्थायी होता है।

रिएक्टिव टूल्स से प्रोएक्टिव आइडेंटिटी कंट्रोल की ओर बढ़ना

इन जोखिमों को कम करने के लिए, संगठनों को डेवलपर एक्सेस को देखने के तरीके को बदलना होगा। वॉल्ट रहस्यों के लिए एक बॉक्स है। पहचान प्रबंधन (Identity management) इस बात का नियंत्रण है कि कौन बॉक्स खोल सकता है और कितने समय के लिए। लक्ष्य हर रहस्य की शेल्फ लाइफ को कम करना है। यदि कोई टोकन चार घंटे में समाप्त हो जाता है, तो जावास्क्रिप्ट फ़ाइल में लीक एक अस्थायी परेशानी है। यदि कोई टोकन एक वर्ष तक चलता है, तो लीक एक आपदा है।

सीक्रेट्स मैनेजमेंट को केंद्रीकृत करना एक आवश्यक कदम है। वातावरण में प्रत्येक पहचान को न्यूनतम विशेषाधिकार (least privilege) के सिद्धांत का पालन करना चाहिए। इसका मतलब है कि एक GitHub टोकन के पास केवल एक कार्य के लिए आवश्यक विशिष्ट रिपॉजिटरी तक पहुंच होनी चाहिए। इसके पास पूरे संगठन पर व्यापक, प्रशासनिक अनुमतियां नहीं होनी चाहिए। स्वचालित रोटेशन यह सुनिश्चित करता है कि क्रेडेंशियल अपने उद्देश्य से अधिक समय तक जीवित न रहें। यह अनुशासन हमलावर को टोकन खोजने से नहीं रोकता है, लेकिन यह सीमित करता है कि वे इसके साथ क्या कर सकते हैं।

पाइपलाइन सुरक्षा के लिए व्यावहारिक कदम

संगठनों को गैर-मानवीय पहचानों की सूची (inventory) के साथ शुरुआत करनी चाहिए। अधिकांश कंपनियां नहीं जानती हैं कि उनके वातावरण में कितनी API कुंजियाँ या सर्विस अकाउंट मौजूद हैं। आप उसे सुरक्षित नहीं कर सकते जिसे आप देख नहीं सकते। इस सूची में प्रत्येक कुंजी का दायरा और उसके अंतिम उपयोग की तिथि शामिल होनी चाहिए। कई संगठन पाते हैं कि उनके सक्रिय टोकन का एक बड़ा प्रतिशत अब आवश्यक नहीं है। ये अनाथ रहस्य हमलावरों के लिए उच्च-मूल्य वाले लक्ष्य हैं।

मशीन पहचान की निगरानी करना उतना ही महत्वपूर्ण है जितना कि मानवीय लॉगिन की निगरानी करना। सुरक्षा टीमों को सर्विस अकाउंट के लिए सामान्य व्यवहार का आधार (baseline) बनाना चाहिए। यदि कोई GitHub टोकन आमतौर पर एक ज्ञात IP पते से तीन रिपॉजिटरी तक पहुंचता है और अचानक एक अलग क्षेत्र से 500 रिपॉजिटरी को क्लोन करना शुरू कर देता है, तो सिस्टम को अलर्ट जारी करना चाहिए। डिटेक्शन पहचान स्तर पर होना चाहिए। सॉफ्टवेयर को पैच करना महत्वपूर्ण है, लेकिन ऐसे युग में जहां पहचान प्राथमिक लक्ष्य है, क्रेडेंशियल उपयोग में दृश्यता एक शांत घुसपैठिए को पकड़ने का एकमात्र तरीका है।

तत्काल जोखिम कम करने के कदम

1. उजागर रहस्यों के लिए सभी सार्वजनिक संपत्तियों को स्कैन करें। क्लाइंट-साइड कोड में टोकन, API कुंजियाँ और डेटाबेस क्रेडेंशियल खोजने के लिए स्वचालित टूल का उपयोग करें।
2. अल्पकालिक टोकन लागू करें। जब भी प्लेटफॉर्म इसका समर्थन करे, लंबे समय तक चलने वाले व्यक्तिगत एक्सेस टोकन को सूक्ष्म, समय-सीमित क्रेडेंशियल्स से बदलें।
3. रिपॉजिटरी अनुमतियों का ऑडिट करें। डेवलपर टोकन से प्रशासनिक पहुंच हटा दें। सुनिश्चित करें कि किसी भी एकल टोकन के पास पूरे कोडबेस को क्लोन करने की शक्ति न हो।
4. CI/CD पाइपलाइन में सीक्रेट स्कैनिंग सक्षम करें। किसी भी कमिट को ब्लॉक करें जिसमें रिपॉजिटरी तक पहुँचने से पहले प्लेनटेक्स्ट सीक्रेट हो।
5. असामान्य रिपॉजिटरी गतिविधि की निगरानी करें। थोक क्लोनिंग या असामान्य स्थानों से पहुंच के लिए अलर्ट सेट करें।

यह घटना एक अनुस्मारक है कि सुरक्षा घेरा (perimeter) बदल गया है। यह अब नेटवर्क के किनारे पर नहीं है। यह व्यक्तिगत टोकन और विशिष्ट पहचान के स्तर पर मौजूद है। यदि आप इन पहचानों को अपने उत्पादन सर्वर के समान कठोरता के साथ प्रबंधित नहीं करते हैं, तो आपकी सुरक्षा एक भ्रम है।

स्रोत: NIST Cybersecurity Framework, MITRE ATT&CK Framework (Technique T1528: Steal Application Access Token), DataBreaches.net reporting.

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है। यह पेशेवर साइबर सुरक्षा ऑडिट या घटना प्रतिक्रिया सेवा का स्थान नहीं लेता है।