サイトアイコン IT NEWS

ニューヨーク州ITサービス局のコードリポジトリがインターネット上に公開されていた

ニューヨーク州政府IT部門が使っているコードリポジトリがインターネット上に公開され、州政府システムに関連する秘密鍵とパスワードを含む内部プロジェクトデータが誰にでもアクセスできる状態になっていた。

露出したGitLab(ギットラブ)サーバーは、米国時間6月26日にドバイ拠点のサイバーセキュリティ会社SpiderSilk(スパイダーシルク)が発見した。Samsung(サムスン)やClearview AI(クリアビューAI)、MoviePass(ムービーパス)のデータ漏洩を発見したことで知られる会社だ。

関連記事:セキュリティーの欠如で顔認識スタートアップClearviewのソースコードがすべて漏洩

州当局はGitLabを、自らが管理するサーバー上で共同開発しているソースコード(およびプロジェクトに必要な秘密鍵、トークン、パスワード)の格納に使用していた。しかし、露出したサーバーはインターネットからアクセス可能であり、部外者の誰でもがユーザーアカウントを作成し、自由にログインできる構成になっていた、とSpiderSilkの最高セキュリティ責任者であるMossab Hussein(モサブ・フセイン)氏がTechCrunchに語った。

TechCrunchが問題のGitLabサーバーを訪れたところ、ログインページが表示され、新規ユーザーアカウントを受け付けていた。どれほどの時間GitLabサーバーがこの状態になっていたか正確にはわかっていないが、露出されたデバイスやデータベースの検索エンジンであるShodan(ショーダン)の履歴データによると、当該GitLabサーバーがインターネットで最初に発見されたのは3月18日だった。

SpiderSilkは、ニューヨーク州情報テクノロジーサービス局配下のサーバーとデータベースに関連する秘密鍵とパスワードを含むGitLabサーバーのスクリーンショットを何枚か共有した。露出したサーバーが不正アクセスあるいは破壊されることを恐れた同社は、このセキュリティ欠陥の公開について州に助言を求めた。

TechCrunchは、サーバーが発見された直後ニューヨーク州政府に注意を促した。当局に宛てた露出したGitLabサーバーに関する何通かのメールは開封されたが返信はなかった。当該サーバーは6月21日午後に閉鎖オフラインになった。

ニューヨーク州ITサービス局のScot Reif(スコット・リーフ)報道官は、サーバーは「ベンダーが設置したテストボックスであり、データは含まれておらず、すでに本局によって削除されています」と語った(リーフ氏は自分の回答は「オン・バックグラウンド」で、州当局者に帰属するものであり、(公表には)条件に関する両社の事前合意が必要だと語ったが、TechCrunchは条件を拒否する機会を与えられなかったため回答を報道した)。

質問に対しリーフ氏は、ベンダーの名前、あるいはサーバーのパスワードが変更されたかどうかを答えなかった。サーバー上のプロジェクトのいくつかには「prod」のマークが付けられており、これはサーバーが利用中であることを示す「production」の一般的略称である。リーフ氏は、本事象が検事総長事務局に報告されたかどうかも明らかにしなかった。検事総長広報官に質問したところ、本稿公開時までに回答はなかった。

TechCrunchは、ベンダーがIndotronix-Avani(インドトロニクス・アバニ)であると認識している。ニューヨーク拠点の企業でインドに支社があり、ベンチャーキャピタル会社のNigama Venturesが所有している。何枚かのスクリーンショットが、GitLabプロジェクトの一部がIndotronix-Avaniのプロジェクト・マネージャーによって変更されたことを示している。同社のウェブサイトにはニューヨーク州政府の名前が米国国務省や防衛省などの政府顧客とともに誇示されている。

Indotronix-Avaniの広報担当者、Mark Edmonds(マーク・エドモンズ)氏はコメント要求に答えなかった。

関連記事
北米フォルクスワーゲンの販売業者から330万人分の個人データ流出
PelotonとEchelon両社のプロフィール写真メタデータはユーザーの位置情報を流出していた
診察予約アプリZocdocは「プログラミングエラー」で患者データへの不正アクセス可能だった
アマゾン傘下Ringの近隣住民監視アプリ「Neighbors」にバグ、投稿者の位置情報や住所に流出の可能性
ジャマイカの新型コロナアプリ失敗の経緯、サイバー攻撃ではなく単に安全ではなかった

カテゴリー:セキュリティ
タグ:ニューヨークデータ漏洩

画像クレジット:Matthew Cavanaugh / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

モバイルバージョンを終了