Dros y 10 mlynedd diwethaf, mae poblogrwydd gwasanaethau cwmwl wedi tyfu'n sydyn. Mae'n debyg eich bod yn defnyddio'r un ddisg iCloud, Google neu Yandex.disk i beidio â chymryd lle ar gyfrifiadur neu iPhone. Yn arbennig o gyfleus bod llawer o geisiadau yn eich galluogi i storio data yn y cwmwl. Ond, fel y digwyddodd, mae ceisiadau o'r fath yn aml yn wag yn ymwneud â diogelwch y defnyddwyr hyn. Canfu Zimperium, sy'n ymwneud â diogelwch symudol, fod degau o filoedd o iOS a cheisiadau Android yn defnyddio cyfluniadau gwasanaeth cwmwl anghywir, oherwydd y gall data defnyddwyr lwytho bron unrhyw un.
Cynhaliodd arbenigwyr diogelwch gwybodaeth ddadansoddiad awtomatig o fwy na 1.3 miliwn o geisiadau am Android ac IOS i nodi cyfluniadau cwmwl anghywir cyffredin sy'n agored i ddata defnyddwyr. Mae ymchwilwyr wedi darganfod tua 84,000 o geisiadau Android a bron i 47,000 o geisiadau iOS sy'n defnyddio gwasanaethau cwmwl cyhoeddus, megis gwasanaethau gwe Amazon, Google Cloud neu Microsoft Azure, ac nid ei weinyddwyr ei hun. O'r rhain, datgelodd yr ymchwilwyr gyfluniadau anghywir ar 14% o gyfanswm nifer y rhaglenni - mae hyn yn 11,877 o geisiadau am geisiadau Android a 6 608 iOS. Mae data cais yn datgelu gwybodaeth bersonol am ddefnyddwyr, cyfrineiriau a hyd yn oed gwybodaeth feddygol, yn ysgrifennu Wired.
Yn ôl arbenigwyr, mae gan lawer o'r ceisiadau hyn ystorfa gymylog, nad oedd yn cael ei ffurfweddu'n briodol gan y datblygwr neu unrhyw un arall, ac oherwydd hyn, mae defnyddwyr defnyddwyr yn weladwy i bron unrhyw un.
Yn agored i niwed cais newydd yn App Store
Apeliodd yr ymchwilwyr i nifer o ddatblygwyr ceisiadau lle'r oeddent yn dod o hyd i gwendidau cwmwl, ond, yn ôl iddynt, cawsant eu hateb ychydig iawn, ac mae'r rhan fwyaf o geisiadau yn parhau i ddefnyddio data agored. Yn anffodus, nid yw Zimperium yn galw am geisiadau yr effeithir arnynt yn eu hadroddiad. Yn ogystal, ni all ymchwilwyr hysbysu degau o filoedd o ddatblygwyr ar unwaith.
Mae'r gwasanaethau y maent wedi'u hystyried yn cwmpasu ystod eang: o geisiadau gyda miloedd o ddefnyddwyr cyn ceisiadau gyda sawl miliwn.
Un o'r ceisiadau hyn yw waled symudol gan y cwmni o'r rhestr Fortune 500, sy'n rhoi rhywfaint o wybodaeth am sesiynau defnyddwyr a data ariannol. Enghraifft arall yw cais trafnidiaeth lle caiff y taliadau eu storio yn y ffurf agored. Darganfu ymchwilwyr hefyd geisiadau meddygol agored gyda chanlyniadau profion a hyd yn oed delweddau o broffiliau defnyddwyr.
Nid yw'r cwmni wedi gallu amcangyfrif eto a oedd yr ymosodwyr yn dod o hyd i unrhyw wendidau gan y rhai a ganfuwyd gan arbenigwyr. Ond nodir y byddant yn hawdd dod o hyd i ddefnyddio'r un wybodaeth sydd ar gael i'r cyhoedd y defnyddiwyd Zimperium yn eu hymchwil. Mae grwpiau Haciwr eisoes yn gweithredu'r math hwn o sgan i ddod o hyd i gyfluniadau cwmwl anghywir mewn gwasanaethau gwe. Yn ogystal, canfu'r ymchwilwyr fod rhai cyfluniadau anghywir yn caniatáu i ymosodwyr newid neu drosysgrifo'r data.
Hefyd ar y pwnc: iOS 14 wedi'i hacio a'i ddangos ar fideo
Sut i sicrhau eich data?
Mae'r prif ddarparwyr gwasanaethau cwmwl, fel Amazon, eisoes wedi gwneud ymdrech i ganfod cyfluniadau anghywir posibl ac yn atal cwsmeriaid amdanynt, ond yn dal yn dibynnu llawer ar y datblygwyr, gan ei bod yn angenrheidiol i ddileu'r gwendidau hyn.
Mae'n ymddangos bod llawer o wasanaethau, gan gynnwys mawr, yn cael problemau difrifol gyda diogelwch data cwmwl. Mae'n ddrwg gennym, nid ydym eto'n gwybod enwau penodol ceisiadau o'r fath, ond rwy'n credu y bydd y wybodaeth hon yn ymddangos yn fuan.