Британский сотовый гигант забыл поменять пароль для своего репозитория кодов

Британский сотовый гигант забыл поменять пароль для своего репозитория кодов

Авторизоваться в репозитории мог кто угодно, используя оставленные по умолчанию логин и пароль (admin/admin).

image

Крупнейший британский сотовый оператор EE (насчитывает порядка 30 млн абонентов) был вынужден принять меры по обеспечению безопасности своего ключевого репозитория кодов после того, как обнаружилось, что авторизоваться в нем мог любой желающий с помощью дефолтных учетных данных.

Исследователь безопасности под псевдонимом Six обнаружил на поддомене EE портал Sonarqube, использующийся сотовым оператором для аудита кода и поиска уязвимостей на своем сайте и портале для клиентов. Авторизоваться на портале мог кто угодно, используя оставленные по умолчанию логин и пароль (admin/admin).

С помощью дефолтных учетных данных Six авторизовался в репозитории и получил доступ к двум миллионам строк кода, в том числе к частным API сотрудников EE и разработчиков, а также к закрытым ключам Amazon Web Services. По словам исследователя, с помощью закрытых ключей злоумышленник может получить еще больший доступ к хранилищам компании, web-серверам и другим конфиденциальным данным, таким как отчеты об отладке.

«Злоумышленник может проанализировать код их (EE – ред.) платежных систем и найти серьезные уязвимости, эксплуатация которых может привести к утечке платежной информации», - сообщил исследователь.


Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей, киберпреступники и вирусы-вымогатели продолжают атаковать пользователей по всему миру. Смотрите новый выпуск на нашем Yotube канале