Перейти к содержанию

Британский сотовый гигант забыл поменять пароль для своего репозитория кодов


Рекомендуемые сообщения

Крупнейший британский сотовый оператор EE (насчитывает порядка 30 млн абонентов) был вынужден принять меры по обеспечению безопасности своего ключевого репозитория кодов после того, как обнаружилось, что авторизоваться в нем мог любой желающий с помощью дефолтных учетных данных.

Исследователь безопасности под псевдонимом Six обнаружил на поддомене EE портал Sonarqube, использующийся сотовым оператором для аудита кода и поиска уязвимостей на своем сайте и портале для клиентов. Авторизоваться на портале мог кто угодно, используя оставленные по умолчанию логин и пароль (admin/admin).

С помощью дефолтных учетных данных Six авторизовался в репозитории и получил доступ к двум миллионам строк кода, в том числе к частным API сотрудников EE и разработчиков, а также к закрытым ключам Amazon Web Services. По словам исследователя, с помощью закрытых ключей злоумышленник может получить еще больший доступ к хранилищам компании, web-серверам и другим конфиденциальным данным, таким как отчеты об отладке.

«Злоумышленник может проанализировать код их (EE) платежных систем и найти серьезные уязвимости, эксплуатация которых может привести к утечке платежной информации», - сообщил исследователь.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...