纽约州政府IT部门使用的一个内部代码库遭泄露

来源:知道创宇2021.06.25

据外媒报道,纽约州政府IT部门使用的一个代码库被暴露在互联网上,允许任何人访问里面的项目,其中一些项目包含与州政府系统相关的秘密密钥和密码。暴露的GitLab服务器于周六被总部位于迪拜的SpiderSilk发现,这家网络安全公司因发现三星、Clearview AI和MoviePass的数据泄漏而受到赞誉。

企业使用GitLab协作开发并将其源代码--以及项目运作所需的秘密密钥、令牌和密码--存储在他们控制的服务器上。但SpiderSilk的首席安全官Mossab Hussein告诉TechCrunch,被暴露的服务器可以从互联网上访问,并被配置为该组织以外的任何人都可以创建一个用户账户并不受阻碍地登录。当TechCrunch访问GitLab服务器时,登录页面显示它正在接受新的用户账户。目前还不知道GitLab服务器以这种方式被访问的确切时间,但来自Shodan的历史记录显示,GitLab于3月18日首次在互联网上被发现。

SpiderSilk分享的几张截图显示,GitLab服务器包含与属于纽约州信息技术服务办公室的服务器和数据库相关的秘密密钥和密码。由于担心暴露的服务器可能被恶意访问或篡改,这家初创公司请求帮助,向州政府披露这一安全漏洞。

在服务器被发现后不久,TechCrunch就向纽约州长办公室通报了这一曝光。向州长办公室发送的几封关于暴露的GitLab服务器细节的电子邮件被打开,但没有得到回应。该服务器于周一下午下线。

纽约州信息技术服务办公室的发言人Scot Reif说,该服务器是“一个由供应商建立的测试箱,没有任何数据,而且它已经被ITS退役了”。(Reif宣称他的答复是 "背景性的",可归因于一位州政府官员,这需要双方事先同意这些条款。)当被问及时,Reif不愿透露供应商是谁,也不愿透露服务器上的密码是否被更改。服务器上的几个项目被标记为 "prod",也就是 "production "的常用缩写,一个指正在积极使用的服务器的术语。Reif也不愿透露该事件是否被报告给州司法部长办公室。在记者采访时,司法部长的发言人没有发表评论。

据TechCrunch了解,供应商是Indotronix-Avani,这是一家总部设在纽约的公司,在印度设有办事处,由风险投资公司Nigama Ventures拥有。几张截图显示一些GitLab项目是由Indotronix-Avani的项目经理修改的。该供应商的网站上吹捧其拥有纽约州政府等其他政府客户,包括美国国务院和美国国防部。

Indotronix-Avani公司的发言人Mark Edmonds没有对评论请求作出回应。

 

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态