Top menu

Крупнейший британский оператор сотовой связи оставил репозиторий с исходным кодом своих внутренних систем с дефолтным паролем!

18-ти летний исследователь безопасности под ником Six, обнаружил в сети крупнейшего (более 30 млн. абонентов) британского сотового оператора EE Limited (бренды Orange и T-Mobile) публично доступный сервер SonarQube – системы для непрерывного анализа кода и поиска в нем ошибок.

Находящийся на поддомене EE сервер SonarQube, долгое время был доступен с дефолтным именем пользователя и паролем «admin» и содержал более 2 млн. строк кода, принадлежавшего оператору. В частности, в репозитории находились секретные ключи к корпоративному облаку на платформе Amazon (AWS) и проприетарные интерфейсы (API) для разработчиков EE.

Кроме того, в системе содержатся списки уязвимостей в ПО оператора.

Six написал в своем твиттере, что оповестил сотового оператора о проблеме несколько недель назад, но никакой реакции с их стороны не последовало. Сегодня стало известно, что EE все-таки сменили дефолтный пароль в системе SonarQube.

Представители EE официально заявили, что данные их клиентов не пострадали. Однако, это заявление выглядит довольно смелым – возможно именно в данном конкретном случае они и не пострадали, т.к. исследователь оказался добросовестным, хоть и анонимным. Но при таком подходе к безопасности внутренней инфраструктуры о каких гарантиях вообще можно говорить? Компания совершенно спокойно скачивает, устанавливает, разворачивает в продакшен и открывает для доступа снаружи систему с дефолтными настройками!

Не так давно мы публиковали статью про утечки через GitHub.

Автор: Ашот Оганесян