据外媒报道,纽约州政府IT部门使用的一个代码库被暴露在互联网上,允许任何人访问里面的项目,其中一些项目包含与州政府系统相关的秘密密钥和密码。暴露的GitLab服务器于周六被总部位于迪拜的SpiderSilk发现,这家网络安全公司因发现三星、Clearview AI和MoviePass的数据泄漏而受到赞誉。
企业使用GitLab协作开发并将其源代码--以及项目运作所需的秘密密钥、令牌和密码--存储在他们控制的服务器上。但SpiderSilk的首席安全官Mossab Hussein告诉TechCrunch,被暴露的服务器可以从互联网上访问,并被配置为该组织以外的任何人都可以创建一个用户账户并不受阻碍地登录。
当TechCrunch访问GitLab服务器时,登录页面显示它正在接受新的用户账户。目前还不知道GitLab服务器以这种方式被访问的确切时间,但来自Shodan的历史记录显示,GitLab于3月18日首次在互联网上被发现。
SpiderSilk分享的几张截图显示,GitLab服务器包含与属于纽约州信息技术服务办公室的服务器和数据库相关的秘密密钥和密码。由于担心暴露的服务器可能被恶意访问或篡改,这家初创公司请求帮助,向州政府披露这一安全漏洞。
在服务器被发现后不久,TechCrunch就向纽约州长办公室通报了这一曝光。向州长办公室发送的几封关于暴露的GitLab服务器细节的电子邮件被打开,但没有得到回应。该服务器于周一下午下线。
纽约州信息技术服务办公室的发言人Scot Reif说,该服务器是“一个由供应商建立的测试箱,没有任何数据,而且它已经被ITS退役了”。(Reif宣称他的答复是 "背景性的",可归因于一位州政府官员,这需要双方事先同意这些条款。)
当被问及时,Reif不愿透露供应商是谁,也不愿透露服务器上的密码是否被更改。服务器上的几个项目被标记为 "prod",也就是 "production "的常用缩写,一个指正在积极使用的服务器的术语。Reif也不愿透露该事件是否被报告给州司法部长办公室。在记者采访时,司法部长的发言人没有发表评论。
据TechCrunch了解,供应商是Indotronix-Avani,这是一家总部设在纽约的公司,在印度设有办事处,由风险投资公司Nigama Ventures拥有。几张截图显示一些GitLab项目是由Indotronix-Avani的项目经理修改的。该供应商的网站上吹捧其拥有纽约州政府等其他政府客户,包括美国国务院和美国国防部。
Indotronix-Avani公司的发言人Mark Edmonds没有对评论请求作出回应。