纽约州政府IT部门使用的一个内部代码库遭泄露
纽约州政府IT部门使用的一个内部代码库遭泄露
据外媒报道,纽约州政府 IT 部门使用的一个代码库被暴露在互联网上,允许任何人访问里面的项目,其中一些项目包含与州政府系统相关的秘密密钥和密码。暴露的 GitLab 服务器于周六被总部位于迪拜的 SpiderSilk 发现,这家网络安全公司因发现三星、Clearview AI 和 MoviePass 的数据泄漏而受到赞誉。
![FI0JZZ)13C5VP}J]N7@C7TS.png](https://img2020.cnblogs.com/news/66372/202106/66372-20210625140908403-2056561861.png)
企业使用 GitLab 协作开发并将其源代码--以及项目运作所需的秘密密钥、令牌和密码--存储在他们控制的服务器上。但 SpiderSilk 的首席安全官 Mossab Hussein 告诉 TechCrunch,被暴露的服务器可以从互联网上访问,并被配置为该组织以外的任何人都可以创建一个用户账户并不受阻碍地登录。
当 TechCrunch 访问 GitLab 服务器时,登录页面显示它正在接受新的用户账户。目前还不知道 GitLab 服务器以这种方式被访问的确切时间,但来自 Shodan 的历史记录显示,GitLab 于 3 月 18 日首次在互联网上被发现。
SpiderSilk 分享的几张截图显示,GitLab 服务器包含与属于纽约州信息技术服务办公室的服务器和数据库相关的秘密密钥和密码。由于担心暴露的服务器可能被恶意访问或篡改,这家初创公司请求帮助,向州政府披露这一安全漏洞。
在服务器被发现后不久,TechCrunch 就向纽约州长办公室通报了这一曝光。向州长办公室发送的几封关于暴露的 GitLab 服务器细节的电子邮件被打开,但没有得到回应。该服务器于周一下午下线。
纽约州信息技术服务办公室的发言人 Scot Reif 说,该服务器是“一个由供应商建立的测试箱,没有任何数据,而且它已经被 ITS 退役了”。(Reif 宣称他的答复是 "背景性的",可归因于一位州政府官员,这需要双方事先同意这些条款。)
当被问及时,Reif 不愿透露供应商是谁,也不愿透露服务器上的密码是否被更改。服务器上的几个项目被标记为 "prod",也就是 "production "的常用缩写,一个指正在积极使用的服务器的术语。Reif 也不愿透露该事件是否被报告给州司法部长办公室。在记者采访时,司法部长的发言人没有发表评论。
据 TechCrunch 了解,供应商是 Indotronix-Avani,这是一家总部设在纽约的公司,在印度设有办事处,由风险投资公司 Nigama Ventures 拥有。几张截图显示一些 GitLab 项目是由 Indotronix-Avani 的项目经理修改的。该供应商的网站上吹捧其拥有纽约州政府等其他政府客户,包括美国国务院和美国国防部。
Indotronix-Avani 公司的发言人 Mark Edmonds 没有对评论请求作出回应。
来自: cnBeta