Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
Крупнейший британский сотовый оператор EE (насчитывает порядка 30 млн абонентов) был вынужден принять меры по обеспечению безопасности своего ключевого репозитория кодов после того, как обнаружилось, что авторизоваться в нем мог любой желающий с помощью дефолтных учетных данных.
Исследователь безопасности под псевдонимом Six обнаружил на поддомене EE портал Sonarqube, использующийся сотовым оператором для аудита кода и поиска уязвимостей на своем сайте и портале для клиентов. Авторизоваться на портале мог кто угодно, используя оставленные по умолчанию логин и пароль (admin/admin).
С помощью дефолтных учетных данных Six авторизовался в репозитории и получил доступ к двум миллионам строк кода, в том числе к частным API сотрудников EE и разработчиков, а также к закрытым ключам Amazon Web Services. По словам исследователя, с помощью закрытых ключей злоумышленник может получить еще больший доступ к хранилищам компании, web-серверам и другим конфиденциальным данным, таким как отчеты об отладке.
«Злоумышленник может проанализировать код их (EE – ред.) платежных систем и найти серьезные уязвимости, эксплуатация которых может привести к утечке платежной информации», - сообщил исследователь.
Оффлайн
- Регистрация
- 12.01.18
- Сообщения
- 65
- Реакции
- 4
- Репутация
- 0
Что же они так не осторожно разбрасывают пароли с ключами. Ведь, мог, кто угодно зайти и похитить данные. А пользователям, ни чего больше не оставалось бы, как сменить оператора. Компания, конечно бы обанкротилась и распалась.
Оффлайн
- Регистрация
- 12.05.18
- Сообщения
- 22
- Реакции
- 4
- Репутация
- 18
Очень часто из-за того, что какой-то из специалистов в компании неправильно выполняет свою работу, продукт компании становится очень уязвимым. И это именно этот случай.