ニューヨーク州政府のIT部門が使用するコードリポジトリはインターネット上に公開されたままであり、誰でも内部のプロジェクトにアクセスでき、その一部には州政府のシステムに関連付けられた秘密鍵とパスワードが含まれていました。

公開されたGitLabサーバーは、ドバイを拠点とするSpiderSilkによって土曜日に発見されました。スパイダーシルクは、 サムスン, クリアビューAI & MoviePass.

組織はGitLabを使用して、ソースコード（およびプロジェクトが機能するために必要な秘密鍵、トークン、パスワード）を共同で開発し、管理するサーバーに保存します。 しかし、公開されたサーバーはインターネットからアクセス可能であり、組織外の誰もがユーザーアカウントを作成し、妨げられることなくログインできるように構成されていた、とSpiderSilkの最高セキュリティ責任者MossabHussinはTechCrunchに語った。

TechCrunchがGitLabサーバーにアクセスしたとき、ログインページはそれが新しいユーザーアカウントを受け入れていることを示した。 この方法でGitLabサーバーにアクセスできる期間は正確にはわかりませんが、 歴史的記録 公開されたデバイスとデータベースの検索エンジンであるShodanによると、GitLabは18月XNUMX日にインターネット上で最初に検出されたことが示されています。

SpiderSilkは、GitLabサーバーに、ニューヨーク州の情報技術サービス局に属するサーバーとデータベースに関連付けられた秘密鍵とパスワードが含まれていることを示すいくつかのスクリーンショットを共有しました。 公開されたサーバーが悪意を持ってアクセスされたり改ざんされたりする可能性があることを恐れて、スタートアップはセキュリティの失効を州に開示するための支援を求めました。

TechCrunchは、サーバーが見つかった直後にニューヨーク州知事のオフィスに暴露を警告した。 公開されたGitLabサーバーの詳細が記載された知事室へのいくつかの電子メールが開かれましたが、応答されませんでした。 サーバーは月曜日の午後にオフラインになりました。

ニューヨーク州情報技術サービス局のスポークスマンであるスコット・レイフ氏は、サーバーは「ベンダーによって設定されたテストボックスであり、データはまったくなく、すでにITSによって廃止されている」と述べた。 （Reifは、「バックグラウンドで」応答を宣言し、州当局に起因します。これには、両当事者が事前に条件に同意する必要がありますが、条件を拒否する機会が与えられなかったため、応答を印刷しています。）

尋ねられたとき、Reifはベンダーが誰であるか、またはサーバー上のパスワードが変更されたかどうかを言いませんでした。 サーバー上のいくつかのプロジェクトは、アクティブに使用されているサーバーの用語である「本番」または「本番」の一般的な省略形としてマークされました。 Reifはまた、事件が州の司法長官事務所に報告されたかどうかについても述べていません。 到達したとき、司法長官のスポークスパーソンは報道時間までにコメントしなかった。

TechCrunchは、ベンダーがインドにオフィスを構え、ベンチャーキャピタル会社NigamaVenturesが所有するニューヨークを拠点とする企業であるIndotronix-Avaniであることを理解しています。 いくつかのスクリーンショットは、GitLabプロジェクトの一部がIndotronix-Avaniのプロジェクトマネージャーによって変更されたことを示しています。 ベンダーのウェブサイトはニューヨーク州を宣伝しています そのウェブサイト、米国国務省および米国国防総省を含む他の政府の顧客と一緒に。

Indotronix-AvaniのスポークスマンMarkEdmondsは、コメントの要求に応じなかった。

続きを読む：

コインスマート。 BesteBitcoin-ヨーロッパのBörse
出典：https：//techcrunch.com/2021/06/24/an-internal-code-repo-used-by-new-york-states-it-office-was-exposed-online/