Поиск
Показаны результаты для тегов 'репозитория'.
Найдено: 3 результата
-
Чешский эксперт по безопасности Владимир Смитка призвал операторов web-сайтов проверить, каким образом настроены их ресурсы, особенно если они используют систему .git для развертывания и управления порталом. Недавно специалист провел сканирование 230 млн различных сайтов по всему миру и нашел 390 тыс. страниц с открытым каталогом .git. По словам эксперта, несанкционированные лица могут получить доступ к файлам с информацией о структуре web-сайта, а также к конфиденциальным данным, таким как пароли базы данных, ключи API и пр. Злоумышленник может воспользоваться доступом для постепенного восстановления репозитория .git либо выявления потенциальных уязвимостей на основе данных об используемых библиотеках. На некоторых открытых сайтах специалист обнаружил пароли от баз данных и неавторизованные загрузчики. Исследователь уведомил часть владельцев сайтов и, по его словам, на многих ресурсах данная проблема уже исправлена.
-
Крупнейший британский сотовый оператор EE (насчитывает порядка 30 млн абонентов) был вынужден принять меры по обеспечению безопасности своего ключевого репозитория кодов после того, как обнаружилось, что авторизоваться в нем мог любой желающий с помощью дефолтных учетных данных. Исследователь безопасности под псевдонимом Six обнаружил на поддомене EE портал Sonarqube, использующийся сотовым оператором для аудита кода и поиска уязвимостей на своем сайте и портале для клиентов. Авторизоваться на портале мог кто угодно, используя оставленные по умолчанию логин и пароль (admin/admin). С помощью дефолтных учетных данных Six авторизовался в репозитории и получил доступ к двум миллионам строк кода, в том числе к частным API сотрудников EE и разработчиков, а также к закрытым ключам Amazon Web Services. По словам исследователя, с помощью закрытых ключей злоумышленник может получить еще больший доступ к хранилищам компании, web-серверам и другим конфиденциальным данным, таким как отчеты об отладке. «Злоумышленник может проанализировать код их (EE) платежных систем и найти серьезные уязвимости, эксплуатация которых может привести к утечке платежной информации», - сообщил исследователь.
-
- британский
- сотовый
-
(и ещё 8 )
C тегом:
-
Из-за недостаточно защищенного репозитория на сайте HitHub произошла утечка данных 18 млн пользователей социального стримингового музыкального сайта 8Tracks. По заверению владельцев ресурса, все пароли пользователей зашифрованы с добавлением соли, однако все равно не рекомендуется использовать их для других сайтов. Утечка не затронула тех, кто авторизуется на 8Tracks через Google или Facebook. Администрация ресурса обнаружила утечку, когда неавторизованные злоумышленники попытались сменить похищенные пароли. В ходе расследования в репозитории на HitHub, принадлежащем одному из сотрудников, была обнаружена резервная копия базы данных пользователей 8Tracks. Как оказалось, сотрудник не использовал для защиты своей учетной записи двухфакторную аутентификацию, что привело к утечке. Согласно заявлению представителей 8Tracks, они обезопасили учетную запись, изменили пароли для своих хранилищ данных и защитили паролем систему резервного копирования. Кроме того, администрация ресурса в обязательном порядке ввела двухфакторную аутентификацию для защиты репозиториев на HitHub.
-
- hithub
- репозитория
-
(и ещё 7 )
C тегом: