《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 美國(guó)紐約州政府IT部門的內(nèi)部代碼庫(kù)意外泄露

美國(guó)紐約州政府IT部門的內(nèi)部代碼庫(kù)意外泄露

2021-06-25
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 代碼庫(kù) 泄露

  據(jù)外媒報(bào)道,紐約州政府IT部門使用的一個(gè)代碼庫(kù)被暴露在互聯(lián)網(wǎng)上,允許任何人訪問里面的項(xiàng)目,其中一些項(xiàng)目包含與州政府系統(tǒng)相關(guān)的秘密密鑰和密碼。暴露的GitLab服務(wù)器于周六被總部位于迪拜的SpiderSilk發(fā)現(xiàn),這家網(wǎng)絡(luò)安全公司因發(fā)現(xiàn)三星、Clearview AI和MoviePass的數(shù)據(jù)泄漏而聲名大噪。

  微信圖片_20210625142136.jpg

  企業(yè)使用GitLab協(xié)作開發(fā)并將其源代碼--以及項(xiàng)目運(yùn)作所需的秘密密鑰、令牌和密碼--存儲(chǔ)在他們控制的服務(wù)器上。但SpiderSilk的首席安全官M(fèi)ossab Hussein告訴TechCrunch,被暴露的服務(wù)器可以從互聯(lián)網(wǎng)上訪問,并被配置為該組織以外的任何人都可以創(chuàng)建一個(gè)用戶賬戶并不受阻礙地登錄。

  當(dāng)TechCrunch訪問GitLab服務(wù)器時(shí),登錄頁(yè)面顯示它正在接受新的用戶賬戶。目前還不知道GitLab服務(wù)器以這種方式被訪問的確切時(shí)間,但來自Shodan的歷史記錄顯示,GitLab于3月18日首次在互聯(lián)網(wǎng)上被發(fā)現(xiàn)。

  SpiderSilk分享的幾張截圖顯示,GitLab服務(wù)器包含與屬于紐約州信息技術(shù)服務(wù)辦公室的服務(wù)器和數(shù)據(jù)庫(kù)相關(guān)的秘密密鑰和密碼。由于擔(dān)心暴露的服務(wù)器可能被惡意訪問或篡改,這家初創(chuàng)公司請(qǐng)求幫助,向州政府披露這一安全漏洞。

  在服務(wù)器被發(fā)現(xiàn)后不久,TechCrunch就向紐約州長(zhǎng)辦公室通報(bào)了這一曝光。向州長(zhǎng)辦公室發(fā)送的幾封關(guān)于暴露的GitLab服務(wù)器細(xì)節(jié)的電子郵件被打開,但沒有得到回應(yīng)。該服務(wù)器于周一下午下線。

  紐約州信息技術(shù)服務(wù)辦公室的發(fā)言人Scot Reif說,該服務(wù)器是“一個(gè)由供應(yīng)商建立的測(cè)試箱,沒有任何數(shù)據(jù),而且它已經(jīng)被ITS退役了”。(Reif宣稱他的答復(fù)是 “背景性的”,可歸因于一位州政府官員,這需要雙方事先同意這些條款。)

  當(dāng)被問及時(shí),Reif不愿透露供應(yīng)商是誰,也不愿透露服務(wù)器上的密碼是否被更改。服務(wù)器上的幾個(gè)項(xiàng)目被標(biāo)記為 “prod”,也就是 “production ”的常用縮寫,一個(gè)指正在積極使用的服務(wù)器的術(shù)語。Reif也不愿透露該事件是否被報(bào)告給州司法部長(zhǎng)辦公室。在記者采訪時(shí),司法部長(zhǎng)的發(fā)言人沒有發(fā)表評(píng)論。

  據(jù)TechCrunch了解,供應(yīng)商是Indotronix-Avani,這是一家總部設(shè)在紐約的公司,在印度設(shè)有辦事處,由風(fēng)險(xiǎn)投資公司Nigama Ventures擁有。幾張截圖顯示一些GitLab項(xiàng)目是由Indotronix-Avani的項(xiàng)目經(jīng)理修改的。該供應(yīng)商的網(wǎng)站上吹捧其擁有紐約州政府等其他政府客戶,包括美國(guó)國(guó)務(wù)院和美國(guó)國(guó)防部。

  Indotronix-Avani公司的發(fā)言人Mark Edmonds沒有對(duì)評(píng)論請(qǐng)求作出回應(yīng)。

  



微信圖片_20210517164139.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。