Repo kode internal yang digunakan oleh kantor TI Negara Bagian New York terungkap secara online – TechCrunch

0
9


Repositori kode yang digunakan oleh departemen TI pemerintah negara bagian New York dibiarkan terbuka di internet, memungkinkan siapa saja untuk mengakses proyek di dalamnya, beberapa di antaranya berisi kunci rahasia dan kata sandi yang terkait dengan sistem pemerintah negara bagian.

Server GitLab yang terbuka ditemukan pada hari Sabtu oleh SpiderSilk yang berbasis di Dubai, sebuah perusahaan keamanan siber yang dikreditkan dengan menemukan tumpahan data di Samsung, Clearview AI dan MoviePass.

Organisasi menggunakan GitLab untuk secara kolaboratif mengembangkan dan menyimpan kode sumber mereka — serta kunci rahasia, token, dan kata sandi yang diperlukan agar proyek dapat bekerja — di server yang mereka kendalikan. Tetapi server yang terbuka dapat diakses dari internet dan dikonfigurasi sehingga siapa pun dari luar organisasi dapat membuat akun pengguna dan masuk tanpa hambatan, kata kepala petugas keamanan SpiderSilk, Mossab Hussin kepada TechCrunch.

Saat TechCrunch mengunjungi server GitLab, halaman login menunjukkan bahwa ia menerima akun pengguna baru. Tidak diketahui secara pasti berapa lama server GitLab dapat diakses dengan cara ini, tapi catatan sejarah dari Shodan, mesin pencari untuk perangkat dan database yang terbuka, menunjukkan GitLab pertama kali terdeteksi di internet pada 18 Maret.

SpiderSilk membagikan beberapa tangkapan layar yang menunjukkan bahwa server GitLab berisi kunci rahasia dan kata sandi yang terkait dengan server dan basis data milik Kantor Layanan Teknologi Informasi Negara Bagian New York. Khawatir server yang terpapar dapat diakses atau dirusak dengan jahat, startup meminta bantuan dalam mengungkapkan celah keamanan ke negara bagian.

TechCrunch memberi tahu kantor gubernur New York tentang paparan tersebut beberapa saat setelah server ditemukan. Beberapa email ke kantor gubernur dengan rincian server GitLab yang terbuka telah dibuka tetapi tidak ditanggapi. Server offline pada Senin sore.

Scot Reif, juru bicara Kantor Layanan Teknologi Informasi Negara Bagian New York, mengatakan server itu adalah “kotak uji yang dibuat oleh vendor, tidak ada data apa pun, dan telah dinonaktifkan oleh ITS.” (Reif menyatakan tanggapannya “di latar belakang” dan disebabkan oleh pejabat negara, yang mengharuskan kedua belah pihak menyetujui persyaratan sebelumnya, tetapi kami mencetak balasan karena kami tidak diberi kesempatan untuk menolak persyaratan.)

Ketika ditanya, Reif tidak akan mengatakan siapa vendornya atau jika kata sandi di server diubah. Beberapa proyek di server ditandai “prod”, atau singkatan umum untuk “produksi”, istilah untuk server yang aktif digunakan. Reif juga tidak mau mengatakan jika peristiwa itu dilaporkan ke Kejaksaan Agung negara bagian itu. Ketika dihubungi, juru bicara Jaksa Agung tidak berkomentar pada waktu pers.

TechCrunch memahami bahwa vendornya adalah Indotronix-Avani, sebuah perusahaan yang berbasis di New York dengan kantor di India, dan dimiliki oleh perusahaan modal ventura Nigama Ventures. Beberapa screenshot menunjukkan beberapa proyek GitLab telah dimodifikasi oleh seorang manajer proyek di Indotronix-Avani. Situs web vendor mempromosikan Negara Bagian New York situs webnya, bersama dengan pelanggan pemerintah lainnya, termasuk Departemen Luar Negeri AS dan Departemen Pertahanan AS.

Juru bicara Indotronix-Avani Mark Edmonds tidak menanggapi permintaan komentar.

Baca lebih banyak:



Sumber

LEAVE A REPLY

Please enter your comment!
Please enter your name here