Хранилище кода, используемое ИТ-отделом правительства штата Нью-Йорк, было оставлено в Интернете, что позволяло любому получить доступ к проектам внутри, некоторые из которых содержали секретные ключи и пароли, связанные с системами государственного управления.
Открытый сервер GitLab был обнаружен в субботу дубайской компанией SpiderSilk, занимающейся кибербезопасностью, которой приписывают обнаружение утечек данных в Samsung, Clearview AI и MoviePass.
Организации используют GitLab для совместной разработки и хранения своего исходного кода, а также секретных ключей, токенов и паролей, необходимых для работы проектов, на серверах, которые они контролируют. Но открытый сервер был доступен из Интернета и настроен таким образом, что любой, кто не входит в организацию, мог создать учетную запись пользователя и беспрепятственно войти в систему, сообщил TechCrunch директор по безопасности SpiderSilk Моссаб Хусин.
Когда TechCrunch посетил сервер GitLab, страница входа показала, что он принимает новые учетные записи пользователей. Точно неизвестно, как долго сервер GitLab был доступен таким образом, но исторические записи Shodan, поисковой системы для открытых устройств и баз данных, показывают, что GitLab был впервые обнаружен в Интернете 18 марта.
SpiderSilk поделился несколькими скриншотами, показывающими, что сервер GitLab содержит секретные ключи и пароли, связанные с серверами и базами данных, принадлежащими Управлению информационных технологий штата Нью-Йорк. Опасаясь злонамеренного доступа к уязвимому серверу или взлома, стартап обратился за помощью в раскрытии нарушения безопасности в государстве.
TechCrunch уведомил офис губернатора Нью-Йорка об обнаружении уязвимости вскоре после того, как сервер был обнаружен. Было открыто несколько писем в офис губернатора с подробностями об обнаруженном сервере GitLab, но ответа на них не было. Сервер отключился в понедельник днем.
Скот Рейф, представитель Управления информационных технологий штата Нью-Йорк, сказал, что сервер был «тестовой коробкой, установленной поставщиком, никаких данных нет, и он уже был выведен из эксплуатации ITS». (Рейф объявил свой ответ «на заднем плане» и приписываемым государственному чиновнику, что потребовало бы, чтобы обе стороны согласились с условиями заранее, но мы печатаем ответ, поскольку нам не дали возможности отклонить условия.)
Когда его спросили, Рейф не сказал, кто продавец и были ли изменены пароли на сервере. Несколько проектов на сервере были помечены как «prod» или обычное сокращение от «production», термин для серверов, которые активно используются. Рейф также не сказал, было ли сообщено об инциденте в офис генерального прокурора штата. Когда это произошло, пресс-секретарь генерального прокурора не дал комментариев по времени для прессы.
TechCrunch понимает, что поставщиком является Indotronix-Avani, компания из Нью-Йорка с офисами в Индии, принадлежащая венчурной компании Nigama Ventures. На нескольких снимках экрана показано, что некоторые проекты GitLab были изменены менеджером проекта в Indotronix-Avani. Веб-сайт поставщика рекламирует штат Нью-Йорк на своем веб-сайте вместе с другими государственными заказчиками, включая Государственный департамент США и Министерство обороны США.
Представитель Indotronix-Avani Марк Эдмондс не ответил на запросы о комментариях.
Читать далее: