據外媒報道,紐約州政府IT部門使用的一個代碼庫被暴露在互聯網上,允許任何人訪問裡面的項目,其中一些項目包含與州政府系統相關的秘密密鑰和密碼。暴露的GitLab服務器於周六被總部位於迪拜的SpiderSilk發現,這家網絡安全公司因發現三星、Clearview AI和MoviePass的數據泄漏而受到讚譽。
![FI0JZZ)13C5VP}J]N7@C7TS.png](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/06/20210625_60d531498eb86.png)
![FI0JZZ)13C5VP}J]N7@C7TS.png](https://dailyclipper.net/wp-content/themes/justnews/themer/assets/images/lazy.png)
企業使用GitLab協作開發並將其源代碼–以及項目運作所需的秘密密鑰、令牌和密碼–存儲在他們控制的服務器上。但SpiderSilk的首席安全官Mossab Hussein告訴TechCrunch,被暴露的服務器可以從互聯網上訪問,並被配置為該組織以外的任何人都可以創建一個用戶賬戶並不受阻礙地登錄。
當TechCrunch訪問GitLab服務器時,登錄頁面顯示它正在接受新的用戶賬戶。目前還不知道GitLab服務器以這種方式被訪問的確切時間,但來自Shodan的歷史記錄顯示,GitLab於3月18日首次在互聯網上被發現。
SpiderSilk分享的幾張截圖顯示,GitLab服務器包含與屬於紐約州信息技術服務辦公室的服務器和數據庫相關的秘密密鑰和密碼。由於擔心暴露的服務器可能被惡意訪問或篡改,這家初創公司請求幫助,向州政府披露這一安全漏洞。
在服務器被發現后不久,TechCrunch就向紐約州長辦公室通報了這一曝光。向州長辦公室發送的幾封關於暴露的GitLab服務器細節的電子郵件被打開,但沒有得到回應。該服務器於周一下午下線。
紐約州信息技術服務辦公室的發言人Scot Reif說,該服務器是“一個由供應商建立的測試箱,沒有任何數據,而且它已經被ITS退役了”。(Reif宣稱他的答覆是 “背景性的”,可歸因於一位州政府官員,這需要雙方事先同意這些條款。)
當被問及時,Reif不願透露供應商是誰,也不願透露服務器上的密碼是否被更改。服務器上的幾個項目被標記為 “prod”,也就是 “production “的常用縮寫,一個指正在積極使用的服務器的術語。Reif也不願透露該事件是否被報告給州司法部長辦公室。在記者採訪時,司法部長的發言人沒有發表評論。
據TechCrunch了解,供應商是Indotronix-Avani,這是一家總部設在紐約的公司,在印度設有辦事處,由風險投資公司Nigama Ventures擁有。幾張截圖顯示一些GitLab項目是由Indotronix-Avani的項目經理修改的。該供應商的網站上吹捧其擁有紐約州政府等其他政府客戶,包括美國國務院和美國國防部。
Indotronix-Avani公司的發言人Mark Edmonds沒有對評論請求作出回應。