Una dintre cele mai puternice instituții americane a invitat hackerii să dea o lovitură

Se întâmplă și la case mai mari. Asta putem afirma, după ce aflăm că una dintre cele mai puternice instituții americane s-a lăsat complet vulnerabilizată în fața atacatorilor cibernetici, dintr-o simplă eroare.

Un depozit de coduri utilizat de departamentul IT al guvernului statului New York a fost lăsat expus pe internet, permițând oricui să acceseze proiectele din interior.

Situația este gravă, dacă ținem cont de faptul că unele date conțineau chei secrete și parole asociate sistemelor guvernului de stat.

Serverul GitLab, cel expus, a fost descoperit sâmbătă de SpiderSilk din Dubai, o renumită companie de securitate cibernetică.

Organizațiile folosesc GitLab pentru a dezvolta și stoca în colaborare codul lor sursă – precum și cheile secrete și parolele necesare care mențin proiectele lor funcționale.

Dar serverul expus a fost accesibil de pe internet și configurat astfel încât oricine din afara organizației să poată crea un cont de utilizator și să se conecteze fără obstacole, a declarat ofițerul principal de securitate al SpiderSilk, Mossab Hussin.

Eroarea ar fi rămas nedescoperită încă din luna martie

Nu se știe exact cât timp a fost accesibil serverul GitLab în acest mod, dar înregistrările vechi ale Shodan, un motor de căutare pentru dispozitive și baze de date expuse, arată că GitLab a fost detectat pentru prima dată pe internet pe 18 martie.

SpiderSilk a publicat mai multe capturi de ecran care arată că serverul GitLab conținea chei și parole secrete asociate cu servere și baze de date aparținând Biroului de servicii de tehnologie informațională al statului New York. Temându-se că serverul expus ar putea fi accesat sau manipulat cu rea intenție, startup-ul a cerut ajutor pentru a dezvălui statului american eroarea gravă de securitate.

Astfel, a fost alertat biroul guvernatorului New York. Serverul a ieșit offline luni după-amiază, semn că experții în securitate cibernetică și-au făcut, în cele din urmă treaba. Deocamdată nu sunt date concrete și confirmate oficial care să indice pagube importante cu privire la acest eveniment. Rămâne de văzut dacă această eroare de securitate va genera anumite probleme, pe viitor.

Practic, putem afirma că, fără să își dorească acest lucru, instituția americană a invitat hackerii să dea o lovitură.