據(jù)外媒報(bào)道,紐約州政府IT部門使用的一個(gè)代碼庫(kù)被暴露在互聯(lián)網(wǎng)上,允許任何人訪問里面的項(xiàng)目,其中一些項(xiàng)目包含與州政府系統(tǒng)相關(guān)的秘密密鑰和密碼。暴露的GitLab服務(wù)器于周六被總部位于迪拜的SpiderSilk發(fā)現(xiàn),這家網(wǎng)絡(luò)安全公司因發(fā)現(xiàn)三星、Clearview AI和MoviePass的數(shù)據(jù)泄漏而聲名大噪。
企業(yè)使用GitLab協(xié)作開發(fā)并將其源代碼--以及項(xiàng)目運(yùn)作所需的秘密密鑰、令牌和密碼--存儲(chǔ)在他們控制的服務(wù)器上。但SpiderSilk的首席安全官M(fèi)ossab Hussein告訴TechCrunch,被暴露的服務(wù)器可以從互聯(lián)網(wǎng)上訪問,并被配置為該組織以外的任何人都可以創(chuàng)建一個(gè)用戶賬戶并不受阻礙地登錄。
當(dāng)TechCrunch訪問GitLab服務(wù)器時(shí),登錄頁(yè)面顯示它正在接受新的用戶賬戶。目前還不知道GitLab服務(wù)器以這種方式被訪問的確切時(shí)間,但來自Shodan的歷史記錄顯示,GitLab于3月18日首次在互聯(lián)網(wǎng)上被發(fā)現(xiàn)。
SpiderSilk分享的幾張截圖顯示,GitLab服務(wù)器包含與屬于紐約州信息技術(shù)服務(wù)辦公室的服務(wù)器和數(shù)據(jù)庫(kù)相關(guān)的秘密密鑰和密碼。由于擔(dān)心暴露的服務(wù)器可能被惡意訪問或篡改,這家初創(chuàng)公司請(qǐng)求幫助,向州政府披露這一安全漏洞。
在服務(wù)器被發(fā)現(xiàn)后不久,TechCrunch就向紐約州長(zhǎng)辦公室通報(bào)了這一曝光。向州長(zhǎng)辦公室發(fā)送的幾封關(guān)于暴露的GitLab服務(wù)器細(xì)節(jié)的電子郵件被打開,但沒有得到回應(yīng)。該服務(wù)器于周一下午下線。
紐約州信息技術(shù)服務(wù)辦公室的發(fā)言人Scot Reif說,該服務(wù)器是“一個(gè)由供應(yīng)商建立的測(cè)試箱,沒有任何數(shù)據(jù),而且它已經(jīng)被ITS退役了”。(Reif宣稱他的答復(fù)是 “背景性的”,可歸因于一位州政府官員,這需要雙方事先同意這些條款。)
當(dāng)被問及時(shí),Reif不愿透露供應(yīng)商是誰,也不愿透露服務(wù)器上的密碼是否被更改。服務(wù)器上的幾個(gè)項(xiàng)目被標(biāo)記為 “prod”,也就是 “production ”的常用縮寫,一個(gè)指正在積極使用的服務(wù)器的術(shù)語。Reif也不愿透露該事件是否被報(bào)告給州司法部長(zhǎng)辦公室。在記者采訪時(shí),司法部長(zhǎng)的發(fā)言人沒有發(fā)表評(píng)論。
據(jù)TechCrunch了解,供應(yīng)商是Indotronix-Avani,這是一家總部設(shè)在紐約的公司,在印度設(shè)有辦事處,由風(fēng)險(xiǎn)投資公司Nigama Ventures擁有。幾張截圖顯示一些GitLab項(xiàng)目是由Indotronix-Avani的項(xiàng)目經(jīng)理修改的。該供應(yīng)商的網(wǎng)站上吹捧其擁有紐約州政府等其他政府客戶,包括美國(guó)國(guó)務(wù)院和美國(guó)國(guó)防部。
Indotronix-Avani公司的發(fā)言人Mark Edmonds沒有對(duì)評(píng)論請(qǐng)求作出回應(yīng)。