カナダの通信大手ロジャーズのウェブサイトおよびオンライン アカウント システムの更新されたソース コード、内部ユーザー名とパスワード、および秘密鍵がインターネット上に公開されているのが発見されました。
こうした情報は、セキュリティバグをスクープするためのソースコードと併せて、通信事業者を狙う悪意ある者にとって格好の標的となります。これらの情報は既に犯罪者に悪用されている可能性もあれば、将来の攻撃に悪用される可能性もあります。また、エンジニアや経営陣は、企業の非公開コードを公開リポジトリにプッシュしないよう、あらゆる予防措置を講じる必要があることも改めて認識すべきです。
注目すべきは、ISPのウェブ開発チームの一部メンバーの名前、パスワード、メールアドレス以外、顧客情報やアカウントの詳細は公開コードリポジトリに存在しないことです。ウェブアプリの設計図は2015年に遡るため、このコードがどれだけ運用されているかは不明です。少なくとも過去5年間にパスワードとキーが変更されていることを願います。
運が良ければ、これはカナダ最大のブロードバンド・テレビ通信会社の一つにとって、何よりも恥ずかしいことになるかもしれない。
「メンテナンスモード」
ロジャーズのメディア担当者に漏洩した大量のデータについて報告したところ、同社のドットコムの一部、例えば法人顧客向けのログインページが「メンテナンスモード」になっていることに気付きました。一方で、ロジャーズのウェブサイトは定期的にこの機能制限モードに移行したり解除したりしていることから、単なる偶然である可能性もあります。
この情報サイロは、カナダ在住の技術者兼セキュリティ研究者であるジェイソン・コールズ氏によって発見されました。彼はロジャーズ氏にこの件について情報提供を試みましたが、あまり成果は得られませんでした。ISPからも、問題のリポジトリを所有するエンジニアからも回答は得られていません。リポジトリは現在も稼働しているため、リンクは掲載しません。
不運なAWSエンジニアが、パスワード、キー、社内トレーニングの機密情報、顧客メッセージをGitHubで公開漏洩
続きを読む
以前、GitHub で公開されたスコシアバンクの内部資料を発見したクールズ氏は、木曜日にEl Regに対し、リポジトリには Rogers.com のソースコードに加えて、デプロイメント システムの認証情報や Oracle 提供の機器も含まれていると語った。
「Apache Cassandra の設定、Oracle の認証情報、WebLogic サーバーのパスワード、暗号キーを公開すると、そのエラーは不安を感じるレベルに達します」と彼は語った。
「私が今懸念しているのは、これを見て、他にどれだけのシステムが同じ公開された暗号キーを共有しているのか、あるいは同じ WebLogic サーバー上にあるのかなど、多くの疑問が残るということです。」
クールズ氏はまた、ハッカーがこのコードを解析してISPのウェブサイトの潜在的な弱点を突き止める可能性もあると指摘した。
「ロジャーズ氏のコード標準を見た今、ホストマシンにサーバー環境変数を設定し、実行時に認証情報とキーを取得すべきだったと指摘せざるを得ません」とクールズ氏は述べた。「そうすれば、開発者が誤ってコードと同じリポジトリに認証情報をチェックインしてしまうことは決してありません。」
この事件は、ソースコードの保管場所とアクセス権を常に把握しておくことの重要性を、すべての人に警告するものであるべきです。セキュリティが不十分なクラウドデータベースやストレージバケットからデータが漏洩する事例は数多く確認されていますが、コードホスティングプラットフォームも、ユーザーの意図しない設定によって企業秘密が漏洩し、適切に管理されていない場合、重大なセキュリティリスクをもたらす可能性があります。
追加更新
この話に対して、ロジャーズ氏はリスクを軽視した。
「リポジトリハブに投稿された2つのアプリケーションのコードは、当社の顧客、従業員、パートナーに関する情報にアクセスするために使用することはできず、いかなる時点でも情報が危険にさらされることはありませんでした」と広報担当者は語った。
ウェブベースのアプリケーションのコードと秘密鍵は長年使用されていません。また、閉鎖されたバックオフィスアプリケーションはインターネットからアクセスできず、アクセスするためのパスワードも無効化されています。当社は多層的なセキュリティ対策を講じ、すべてのアプリケーションを積極的に監視しており、不正な活動は確認されていません。
それにもかかわらず、私たちの調査の後、通信会社が公開コードサイロに対して DMCA 削除命令を提出したことで、このリポジトリと、一夜にしてロジャーズの内部資料が含まれていると発見された他の 2 つのリポジトリは GitHub から削除されました。
広報担当者はまた、「メンテナンスは通常のスケジュールの一部だった」と主張した。®
