हैकर्स ने PHP प्रोग्रामिंग लैंग्वेज के मुख्य Git रिपॉजिटरी का उल्लंघन किया है, जो कि स्रोत कोड के लिए पिछले दरवाजे को जोड़ रहा है जो दुनिया भर में लाखों सर्वरों पर एक हमलावर की पहुंच की अनुमति दे सकता है।
हालांकि, जितना बुरा लगता है, हैकर्स ने भी PHP विकास टीम के लिए एक विशाल लाल झंडा छोड़ दिया, संभवतः एक प्रत्यक्ष शोषण के बजाय भेद्यता के बारे में चेतावनी के रूप में।
हैकर्स ने PHP सोर्स कोड में पिछले दरवाजे को सम्मिलित किया
PHP डेवलपमेंट टीम ने रविवार, 28 मार्च को स्रोत कोड उल्लंघन की पुष्टि करते हुए एक आधिकारिक बयान जारी किया।
बयान पुष्टि करता है कि वास्तव में PHP स्रोत कोड का उल्लंघन किया गया था, जिसमें दुर्भावनापूर्ण कोड को मुख्य डेवलपर्स रासमस लेरडोर्फ और निकिता पोपोव के खातों से PHP गिट सर्वर में धकेल दिया गया था।
पिछले दरवाजे, जिसने उत्पादन में अपना रास्ता नहीं बनाया है (इसका अर्थ है कि इसे किसी भी सर्वर से लाइव नहीं किया गया है), किसी हमलावर को किसी भी कमजोर PHP सर्वर पर कोड निष्पादित करने की अनुमति देगा। यह एक खतरे वाले अभिनेता तक महत्वपूर्ण पहुंच प्रदान करेगा और लाखों वेबसाइटों के लिए महत्वपूर्ण खतरा पेश करेगा जो प्रोग्रामिंग भाषा का उपयोग करते हैं।
हालाँकि, जबकि भेद्यता का उल्लंघन और प्रदर्शन खराब है, यह स्पष्ट है कि हैकर या हैकर्स ने कभी भी शोषण को लाइव करने का इरादा नहीं किया था। दुर्भावनापूर्ण कोड को ट्रिगर करने के लिए, एक हमले को एक विशिष्ट स्ट्रिंग के लिए एक अनुरोध भेजना होगा जिसका नाम zerodium है ।
ज़ेरोडियम एक जानी-मानी शोषण ब्रोकर सेवा का नाम है, जहां हैकर सबसे अधिक बोली लगाने वाले को शोषण बेच सकते हैं। नाम शामिल करने से इस विचार को विश्वसनीयता मिलती है कि हैकर सक्रियता से शोषण करने के बजाय PHP विकास टीम पर ध्यान दे रहे थे।
PHP विकास अतिरिक्त सुरक्षा कदम उठाएं
उल्लंघन के परिणामस्वरूप, PHP डेवलपमेंट टीम बदल जाएगी कि यह कैसे अपने Git सर्वर तक पहुंच का प्रबंधन करता है, जिससे परियोजना के लिए अपने GitHub रिपॉजिटरी को de facto कोड आधार बना देता है, न कि वर्तमान में केवल एक दर्पण की तरह।
जबकि [] जांच अभी भी चल रही है, हमने तय किया है कि हमारे अपने git इंफ्रास्ट्रक्चर को बनाए रखना एक अनावश्यक सुरक्षा जोखिम है, और हम git.php.net सर्वर को बंद कर देंगे। इसके बजाय, गिटहब पर भंडार, जो पहले केवल दर्पण थे, विहित हो जाएंगे। इसका अर्थ यह है कि परिवर्तन को सीधे git.php.net के बजाय GitHub पर धकेल दिया जाना चाहिए।
स्विच के बाद, PHP रिपॉजिटरी तक पहुंच की आवश्यकता वाले लोगों को अनुरोध करने के लिए सीधे विकास टीम से संपर्क करना होगा।
हालांकि विकास टीम का मानना है कि उल्लंघन एक व्यक्तिगत खाते के बजाय, Git सर्वर का एक समझौता था, PHP विकास सही तरीके से अतिरिक्त कदम उठा रहा है ताकि यह सुनिश्चित किया जा सके कि आगे कोई उल्लंघन न हो।
W3Tech के अनुसार, इंटरनेट पर सभी साइटों के लगभग 80 प्रतिशत लोग PHP के किसी न किसी रूप का उपयोग करते हैं, इसलिए अतिरिक्त सुरक्षा कदम पूरी तरह से समझ में आते हैं।