뉴욕 주 정부의 IT 부서에서 사용하는 코드 저장소가 인터넷에 노출되어 누구나 내부의 프로젝트에 액세스 할 수있게되었으며, 그중 일부에는 주 정부 시스템과 관련된 비밀 키와 암호가 포함되어 있습니다.

노출 된 GitLab 서버는 토요일에 두바이에 기반을 둔 SpiderSilk에 의해 발견되었습니다. 삼성, 클리어 뷰 AI 과 MoviePass.

조직은 GitLab을 사용하여 프로젝트가 작동하는 데 필요한 비밀 키, 토큰 및 암호뿐만 아니라 자신이 제어하는 ​​서버에서 소스 코드를 공동으로 개발하고 저장합니다. 그러나 노출 된 서버는 인터넷에서 액세스 할 수 있고 조직 외부의 누구나 사용자 계정을 만들고 방해받지 않고 로그인 할 수 있도록 구성되었다고 SpiderSilk의 최고 보안 책임자 인 Mossab Hussin은 TechCrunch에 말했습니다.

TechCrunch가 GitLab 서버를 방문했을 때 로그인 페이지에 새 사용자 계정을 수락하는 것으로 나타났습니다. 이 방법으로 GitLab 서버에 액세스 할 수 있었던 시간은 정확히 알 수 없지만 역사적 기록 노출 된 장치 및 데이터베이스의 검색 엔진 인 Shodan은 GitLab이 18 월 XNUMX 일 인터넷에서 처음 감지되었음을 보여줍니다.

SpiderSilk는 GitLab 서버에 뉴욕 주 정보 기술 서비스국에 속한 서버 및 데이터베이스와 관련된 비밀 키와 암호가 포함되어 있음을 보여주는 여러 스크린 샷을 공유했습니다. 노출 된 서버가 악의적으로 액세스되거나 변조 될 수 있다는 두려움에 신생 회사는 보안상의 문제를 주에 공개하는 데 도움을 요청했습니다.

TechCrunch는 서버가 발견 된 지 얼마 지나지 않아 뉴욕 주지사 사무실에 노출 된 사실을 알 렸습니다. 노출 된 GitLab 서버에 대한 세부 정보가 포함 된 주지사 사무실로 보낸 여러 이메일이 열렸지만 응답하지 않았습니다. 월요일 오후에 서버가 오프라인 상태가되었습니다.

뉴욕 주 정보 기술 서비스국의 대변인 Scot Reif는 서버가 "공급 업체가 설정 한 테스트 박스이며 데이터가 전혀 없으며 ITS에 의해 이미 폐기되었습니다"라고 말했습니다. (Reif는 자신의 답변을 "배경"에 대해 선언했으며 주 공무원의 기인으로 두 당사자가 사전에 약관에 동의해야하지만 약관을 거부 할 기회가 주어지지 않았으므로 답장을 인쇄하고 있습니다.)

요청을 받았을 때 Reif는 공급 업체가 누구인지 또는 서버의 암호가 변경되었는지 여부를 밝히지 않았습니다. 서버에있는 여러 프로젝트는 "프로덕션"또는 "프로덕션"의 일반적인 축약 형으로 표시되어 활발하게 사용되는 서버를 나타냅니다. Reif는 또한 사건이 주 법무 장관 사무실에보고되었는지 여부를 밝히지 않았습니다. 연락을 받았을 때, 법무 장관 대변인은 언론 시간까지 언급하지 않았습니다.

TechCrunch는 벤처가 벤처 캐피탈 회사 인 Nigama Ventures가 소유하고있는 뉴욕에 본사를 둔 뉴욕 기반 회사 인 Indotronix-Avani라는 것을 이해합니다. 여러 스크린 샷은 Indotronix-Avani의 프로젝트 관리자가 GitLab 프로젝트를 수정했음을 보여줍니다. 공급 업체의 웹 사이트는 뉴욕 주를 다음과 같이 선전합니다. 웹 사이트, 미국 국무부 및 미국 국방부를 포함한 다른 정부 고객과 함께.

Indotronix-Avani 대변인 Mark Edmonds는 논평 요청에 응답하지 않았습니다.

더 읽기 :

코인 스마트. 유로파 최고의 비트 코인-보르 스
출처 : https://techcrunch.com/2021/06/24/an-internal-code-repo-used-by-new-york-states-it-office-was-exposed-online/