"יותר ממיליון סודות טכנולוגיים דלפו לרשת": דוח חדש חושף חמישה איומים מרכזיים על תשתיות הענן

חברת הסייבר הישראלית-אמריקנית SentinelOne חשפה השבוע תמונת מצב מדאיגה של איומים מתגברים על תשתיות הענן במהלך 2025, במיוחד בעקבות השימוש הנרחב בטכנולוגיות בינה מלאכותית. הדוח, המבוסס על ניתוח פעילות איומים עולמית, מזהה חמישה וקטורי תקיפה מרכזיים שמאיימים על ארגונים ברחבי העולם.

גניבת אישורי גישה

גניבת אקרדיטציות - כלומר, נתוני הזדהות כמו שמות משתמש וסיסמאות - נותרת נקודת הכניסה הנפוצה והמסוכנת ביותר לסביבות ענן. סיסמאות מודלפות, מפתחות API (ממשק תכנות יישומים) וחשבונות שירות בעלי הרשאות מוגזמות מספקים לתוקפים גישה ישירה למשאבים רגישים.

הממצאים מדאיגים: למעלה ממיליון סודות טכנולוגיים דלפו למאגרי קוד ציבוריים במהלך 2024. במקרה חמור במיוחד, מפתח API מודלף חשף את תשתית xAI - חברת הבת של X של אילון מאסק - ואפשר גישה לא מורשית לנתוני מודל ומידע הקשור ל-SpaceX.

בנוסף, תוכנות זדוניות כמו LummaStealer ו-SolarMarker פותחו במיוחד כדי לגנוב אסימונים מכלי פיתוח.

מחדירה להשתלטות מלאה

לפי הדוח, ברגע שתוקפים מצליחים לחדור למערכת, הם לא עוצרים בנקודת הכניסה. הם נעים "רוחבית" בתוך סביבות הענן - כלומר, מרחיבים את הגישה שלהם ממערכת אחת לאחרת. הדוח מציג כדוגמה לכך את פרשת ShinyHunters, שבה תוקפים ניצלו פרטי גישה מודלפים כדי לחדור דרך תשתית הענן של חברת שירותי הענן Snowflake ולהשיג גישה למידע של לקוחות.

ואכן, אחסון בענן מהווה יעד תקיפה מרכזי, זאת בגלל תצורות לקויות שחושפות מידע או מאפשרות ניצול לרעה. הדוח מציג כמה דוגמאות מדאיגות: דליפת נתוני GPS של 800 אלף רכבים השייכים לחברת-בת של פולקסווגן כתוצאה ממאגר אחסון לא מאובטח בסביבת ענן של אמזון.

בנוסף, קבוצות כופרה כמו BlackCat החלו להצפין אחסון בענן ודורשות תשלום עבור מפתחות גישה אליו. תוקפים מנצלים הצפנה בצד השרת עם מפתחות לקוח כדי למנוע שחזור נתונים.

סיכוני שרשרת אספקה

עם התרחבות הפיתוח מבוסס-הענן, תוקפים מתמקדים יותר בשרשרת האספקה של התוכנה כדי להחדיר קוד זדוני "מלמעלה" בשרשרת. הדוח מזהה שיטות תקיפה חדשות כמו Typosquatting - שימוש בשמות חבילות שגויים כדי להונות מפתחים - ו-Slopsquatting - רישום חבילות על בסיס הצעות של בינה מלאכותית כמו ChatGPT.

תשתיות AI - שטח תקיפה חדש

עומסי עבודה מבוססי בינה מלאכותית מביאים איתם יכולות חדשות לצד חולשות חדשות. שירותי AI שאינם מוגדרים נכון, דליפות נתוני מודלים ואינטגרציות לא מאובטחות מהווים פתח לתקיפות.

הסיכונים כוללים תצורות שגויות בשירותים כמו AWS SageMaker שמעניקים גישה רחבה מדי לרשת, דליפות סודות בעקבות שיתוף משאבים בין דומיינים, ותקיפות על פרוטוקול Model Context Protocol, כולל הרעלת כלים והזרקת פרומפטים לשיבוש החלטות של AI.

המלצות למגנים

SentinelOne ממליצה לארגונים לאכוף גישת הרשאות מינימלית, להפעיל אימות רב-שלבי ולנטר שירותים רגישים לאיתור פעילות חריגה. בנוסף, מומלץ ליישם סגמנטציה של הרשת ולהשתמש בניתוח מבוסס גרף של זהויות לזיהוי מסלולי תנועה פוטנציאליים.

לגבי אחסון בענן, הדוח ממליץ לערוך ביקורת שוטפת למדיניות בקרת גישה, לסרוק דליפות במאגרים ולהפעיל ניטור תצורה אוטומטי. עבור שירותי AI, מומלץ לבודד שירותים, להגביל גישה בין דומיינים ולהפעיל ניטור בזמן אמת על API והתנהגות מודלים.