تم ترك مستودع رموز يستخدمه قسم تكنولوجيا المعلومات التابع لحكومة ولاية نيويورك مكشوفًا على الإنترنت ، مما سمح لأي شخص بالوصول إلى المشاريع في الداخل ، والتي احتوى بعضها على مفاتيح سرية وكلمات مرور مرتبطة بأنظمة حكومة الولاية.
تم اكتشاف خادم GitLab المكشوف يوم السبت من قبل SpiderSilk ومقرها دبي ، وهي شركة للأمن السيبراني يُنسب إليها اكتشاف تسرب البيانات في سامسونج , كليرفيو AI و MoviePass.
تستخدم المؤسسات GitLab لتطوير وتخزين كود المصدر بشكل تعاوني - بالإضافة إلى المفاتيح السرية والرموز وكلمات المرور اللازمة لعمل المشاريع - على الخوادم التي يتحكمون فيها. لكن مصعب حسين كبير مسؤولي الأمن في SpiderSilk أخبر TechCrunch أن الخادم المكشوف يمكن الوصول إليه من الإنترنت وتهيئته بحيث يمكن لأي شخص من خارج المؤسسة إنشاء حساب مستخدم وتسجيل الدخول دون عوائق.
عندما زار موقع TechCrunch خادم GitLab ، أظهرت صفحة تسجيل الدخول أنه كان يقبل حسابات مستخدمين جديدة. من غير المعروف بالضبط كم من الوقت كان يمكن الوصول إلى خادم GitLab بهذه الطريقة ، ولكن السجلات التاريخية من Shodan ، وهو محرك بحث للأجهزة المكشوفة وقواعد البيانات ، يُظهر أن GitLab قد تم اكتشافه لأول مرة على الإنترنت في 18 مارس.
شارك SpiderSilk عدة لقطات شاشة توضح أن خادم GitLab يحتوي على مفاتيح سرية وكلمات مرور مرتبطة بالخوادم وقواعد البيانات التابعة لمكتب خدمات تكنولوجيا المعلومات بولاية نيويورك. خوفًا من إمكانية الوصول إلى الخادم المكشوف بشكل ضار أو العبث به ، طلبت الشركة الناشئة المساعدة في الكشف عن الانقطاع الأمني للدولة.
نبهت TechCrunch مكتب حاكم نيويورك إلى التعرض بعد وقت قصير من العثور على الخادم. تم فتح عدة رسائل بريد إلكتروني إلى مكتب الحاكم تحتوي على تفاصيل خادم GitLab المكشوف ولكن لم يتم الرد عليها. توقف الخادم عن العمل بعد ظهر يوم الاثنين.
قال سكوت ريف ، المتحدث باسم مكتب خدمات تكنولوجيا المعلومات في ولاية نيويورك ، إن الخادم كان "صندوق اختبار تم إعداده من قبل البائع ، ولا توجد بيانات على الإطلاق ، وقد تم إيقاف تشغيله بالفعل بواسطة ITS." (أعلن ريف أن رده "على خلفية" منسوب إلى مسؤول حكومي ، الأمر الذي يتطلب موافقة الطرفين على الشروط مقدمًا ، لكننا نطبع الرد لأننا لم نحصل على فرصة لرفض الشروط)
عندما سئل ، لم يذكر Reif هوية البائع أو ما إذا تم تغيير كلمات المرور على الخادم. تم وضع علامة "prod" على العديد من المشاريع على الخادم ، أو الاختصار الشائع لكلمة "الإنتاج" ، وهو مصطلح يشير إلى الخوادم التي يتم استخدامها بنشاط. كما رفض ريف أن يقول ما إذا كان قد تم الإبلاغ عن الحادث لمكتب المدعي العام للولاية. عند الوصول ، لم يعلق المتحدث باسم النائب العام حتى وقت نشر هذا الخبر.
تتفهم TechCrunch أن البائع هو Indotronix-Avani ، وهي شركة مقرها نيويورك ولها مكاتب في الهند ، ومملوكة لشركة رأس المال الاستثماري Nigama Ventures. تظهر عدة لقطات شاشة تم تعديل بعض مشاريع GitLab بواسطة مدير المشروع في Indotronix-Avani. موقع البائع يروج لولاية نيويورك موقعها على شبكة الانترنت، إلى جانب عملاء حكوميين آخرين ، بما في ذلك وزارة الخارجية الأمريكية ووزارة الدفاع الأمريكية.
ولم يرد المتحدث باسم إندوترونيكس أفاني ، مارك إدموندز ، على طلبات التعليق.
اقرأ أكثر:
كوينسمارت. Beste Bitcoin-Börse في أوروبا
المصدر: https://techcrunch.com/2021/06/24/an-internal-code-repo-used-by-new-york-states-it-office-was-exposed-online/
