《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 美國紐約州政府IT部門的內(nèi)部代碼庫意外泄露

美國紐約州政府IT部門的內(nèi)部代碼庫意外泄露

2021-06-25
來源:互聯(lián)網(wǎng)安全內(nèi)參
關鍵詞: 代碼庫 泄露

  據(jù)外媒報道,紐約州政府IT部門使用的一個代碼庫被暴露在互聯(lián)網(wǎng)上,允許任何人訪問里面的項目,其中一些項目包含與州政府系統(tǒng)相關的秘密密鑰和密碼。暴露的GitLab服務器于周六被總部位于迪拜的SpiderSilk發(fā)現(xiàn),這家網(wǎng)絡安全公司因發(fā)現(xiàn)三星、Clearview AI和MoviePass的數(shù)據(jù)泄漏而聲名大噪。

  微信圖片_20210625142136.jpg

  企業(yè)使用GitLab協(xié)作開發(fā)并將其源代碼--以及項目運作所需的秘密密鑰、令牌和密碼--存儲在他們控制的服務器上。但SpiderSilk的首席安全官Mossab Hussein告訴TechCrunch,被暴露的服務器可以從互聯(lián)網(wǎng)上訪問,并被配置為該組織以外的任何人都可以創(chuàng)建一個用戶賬戶并不受阻礙地登錄。

  當TechCrunch訪問GitLab服務器時,登錄頁面顯示它正在接受新的用戶賬戶。目前還不知道GitLab服務器以這種方式被訪問的確切時間,但來自Shodan的歷史記錄顯示,GitLab于3月18日首次在互聯(lián)網(wǎng)上被發(fā)現(xiàn)。

  SpiderSilk分享的幾張截圖顯示,GitLab服務器包含與屬于紐約州信息技術服務辦公室的服務器和數(shù)據(jù)庫相關的秘密密鑰和密碼。由于擔心暴露的服務器可能被惡意訪問或篡改,這家初創(chuàng)公司請求幫助,向州政府披露這一安全漏洞。

  在服務器被發(fā)現(xiàn)后不久,TechCrunch就向紐約州長辦公室通報了這一曝光。向州長辦公室發(fā)送的幾封關于暴露的GitLab服務器細節(jié)的電子郵件被打開,但沒有得到回應。該服務器于周一下午下線。

  紐約州信息技術服務辦公室的發(fā)言人Scot Reif說,該服務器是“一個由供應商建立的測試箱,沒有任何數(shù)據(jù),而且它已經(jīng)被ITS退役了”。(Reif宣稱他的答復是 “背景性的”,可歸因于一位州政府官員,這需要雙方事先同意這些條款。)

  當被問及時,Reif不愿透露供應商是誰,也不愿透露服務器上的密碼是否被更改。服務器上的幾個項目被標記為 “prod”,也就是 “production ”的常用縮寫,一個指正在積極使用的服務器的術語。Reif也不愿透露該事件是否被報告給州司法部長辦公室。在記者采訪時,司法部長的發(fā)言人沒有發(fā)表評論。

  據(jù)TechCrunch了解,供應商是Indotronix-Avani,這是一家總部設在紐約的公司,在印度設有辦事處,由風險投資公司Nigama Ventures擁有。幾張截圖顯示一些GitLab項目是由Indotronix-Avani的項目經(jīng)理修改的。該供應商的網(wǎng)站上吹捧其擁有紐約州政府等其他政府客戶,包括美國國務院和美國國防部。

  Indotronix-Avani公司的發(fā)言人Mark Edmonds沒有對評論請求作出回應。

  



微信圖片_20210517164139.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。