ニューヨーク州ITサービス局のコードリポジトリがインターネット上に公開されていた
今回は「ニューヨーク州ITサービス局のコードリポジトリがインターネット上に公開されていた」についてご紹介します。
関連ワード (データ漏洩、ニューヨーク等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
ニューヨーク州政府IT部門が使っているコードリポジトリがインターネット上に公開され、州政府システムに関連する秘密鍵とパスワードを含む内部プロジェクトデータが誰にでもアクセスできる状態になっていた。
露出したGitLab(ギットラブ)サーバーは、米国時間6月26日にドバイ拠点のサイバーセキュリティ会社SpiderSilk(スパイダーシルク)が発見した。Samsung(サムスン)やClearview AI(クリアビューAI)、MoviePass(ムービーパス)のデータ漏洩を発見したことで知られる会社だ。
関連記事:セキュリティーの欠如で顔認識スタートアップClearviewのソースコードがすべて漏洩
州当局はGitLabを、自らが管理するサーバー上で共同開発しているソースコード(およびプロジェクトに必要な秘密鍵、トークン、パスワード)の格納に使用していた。しかし、露出したサーバーはインターネットからアクセス可能であり、部外者の誰でもがユーザーアカウントを作成し、自由にログインできる構成になっていた、とSpiderSilkの最高セキュリティ責任者であるMossab Hussein(モサブ・フセイン)氏がTechCrunchに語った。
TechCrunchが問題のGitLabサーバーを訪れたところ、ログインページが表示され、新規ユーザーアカウントを受け付けていた。どれほどの時間GitLabサーバーがこの状態になっていたか正確にはわかっていないが、露出されたデバイスやデータベースの検索エンジンであるShodan(ショーダン)の履歴データによると、当該GitLabサーバーがインターネットで最初に発見されたのは3月18日だった。
SpiderSilkは、ニューヨーク州情報テクノロジーサービス局配下のサーバーとデータベースに関連する秘密鍵とパスワードを含むGitLabサーバーのスクリーンショットを何枚か共有した。露出したサーバーが不正アクセスあるいは破壊されることを恐れた同社は、このセキュリティ欠陥の公開について州に助言を求めた。
TechCrunchは、サーバーが発見された直後ニューヨーク州政府に注意を促した。当局に宛てた露出したGitLabサーバーに関する何通かのメールは開封されたが返信はなかった。当該サーバーは6月21日午後に閉鎖オフラインになった。
ニューヨーク州ITサービス局のScot Reif(スコット・リーフ)報道官は、サーバーは「ベンダーが設置したテストボックスであり、データは含まれておらず、すでに本局によって削除されています」と語った(リーフ氏は自分の回答は「オン・バックグラウンド」で、州当局者に帰属するものであり、(公表には)条件に関する両社の事前合意が必要だと語ったが、TechCrunchは条件を拒否する機会を与えられなかったため回答を報道した)。
質問に対しリーフ氏は、ベンダーの名前、あるいはサーバーのパスワードが変更されたかどうかを答えなかった。サーバー上のプロジェクトのいくつかには「prod」のマークが付けられており、これはサーバーが利用中であることを示す「production」の一般的略称である。リーフ氏は、本事象が検事総長事務局に報告されたかどうかも明らかにしなかった。検事総長広報官に質問したところ、本稿公開時までに回答はなかった。
TechCrunchは、ベンダーがIndotronix-Avani(インドトロニクス・アバニ)であると認識している。ニューヨーク拠点の企業でインドに支社があり、ベンチャーキャピタル会社のNigama Venturesが所有している。何枚かのスクリーンショットが、GitLabプロジェクトの一部がIndotronix-Avaniのプロジェクト・マネージャーによって変更されたことを示している。同社のウェブサイトにはニューヨーク州政府の名前が米国国務省や防衛省などの政府顧客とともに誇示されている。
Indotronix-Avaniの広報担当者、Mark Edmonds(マーク・エドモンズ)氏はコメント要求に答えなかった。
関連記事
・北米フォルクスワーゲンの販売業者から330万人分の個人データ流出
・PelotonとEchelon両社のプロフィール写真メタデータはユーザーの位置情報を流出していた
・診察予約アプリZocdocは「プログラミングエラー」で患者データへの不正アクセス可能だった
・アマゾン傘下Ringの近隣住民監視アプリ「Neighbors」にバグ、投稿者の位置情報や住所に流出の可能性
・ジャマイカの新型コロナアプリ失敗の経緯、サイバー攻撃ではなく単に安全ではなかった
画像クレジット:Matthew Cavanaugh / Getty Images
【原文】
A code repository used by the New York state government’s IT department was left exposed on the internet, allowing anyone to access the projects inside, some of which contained secret keys and passwords associated with state government systems.
The exposed GitLab server was discovered on Saturday by Dubai-based SpiderSilk, a cybersecurity company credited with discovering data spills at Samsung, Clearview AI and MoviePass.
Organizations use GitLab to collaboratively develop and store their source code — as well as the secret keys, tokens and passwords needed for the projects to work — on servers that they control. But the exposed server was accessible from the internet and configured so that anyone from outside the organization could create a user account and log in unimpeded, SpiderSilk’s chief security officer Mossab Hussein told TechCrunch.
When TechCrunch visited the GitLab server, the login page showed it was accepting new user accounts. It’s not known exactly how long the GitLab server was accessible in this way, but historic records from Shodan, a search engine for exposed devices and databases, shows the GitLab was first detected on the internet on March 18.
SpiderSilk shared several screenshots showing that the GitLab server contained secret keys and passwords associated with servers and databases belonging to New York State’s Office of Information Technology Services. Fearing the exposed server could be maliciously accessed or tampered with, the startup asked for help in disclosing the security lapse to the state.
TechCrunch alerted the New York governor’s office to the exposure a short time after the server was found. Several emails to the governor’s office with details of the exposed GitLab server were opened but were not responded to. The server went offline on Monday afternoon.
Scot Reif, a spokesperson for New York State’s Office of Information Technology Services, said the server was “a test box set up by a vendor, there is no data whatsoever, and it has already been decommissioned by ITS.” (Reif declared his response “on background” and attributable to a state official, which would require both parties agree to the terms in advance, but we are printing the reply as we were not given the opportunity to reject the terms.)
When asked, Reif would not say who the vendor was or if the passwords on the server were changed. Several projects on the server were marked “prod,” or common shorthand for “production,” a term for servers that are actively used. Reif also would not say if the incident was reported to the state’s Attorney General’s office. When reached, a spokesperson for the Attorney General did not comment by press time.
TechCrunch understands the vendor is Indotronix-Avani, a New York-based company with offices in India, and owned by venture capital firm Nigama Ventures. Several screenshots show some of the GitLab projects were modified by a project manager at Indotronix-Avani. The vendor’s website touts New York State on its website, along with other government customers, including the U.S. State Department and the U.S. Department of Defense.
Indotronix-Avani spokesperson Mark Edmonds did not respond to requests for comment.
Read more:
(文:Zack Whittaker、翻訳:Nob Takahashi / facebook )
ニューヨーク - Wikipedia
ニューヨーク市(英: New York City )は、アメリカ合衆国 ニューヨーク州にある都市。 1790年以来、同国最大の都市であり [2] 、市域人口は800万人を超え、都市圏人口では定義にもよるが2,000万人以上である [3] [4]。2015年の市内総生
ニューヨークのおすすめ観光・観光スポット情報【HIS】
HISが魅力満載のニューヨーク観光をお届けします!タイムズスクエア、自由の女神、メトロポリタン美術館といった有名観光スポットの情報を豊富に掲載しています。ニューヨークのホテル、アクティビティ、お土産の情報なども紹介しています!
ニューヨーク (お笑いコンビ) - Wikipedia
ニューヨークは、嶋佐和也と屋敷裕政からなる日本のお笑いコンビ。 吉本興業 東京本社( 東京吉本 )所属。 2010年 結成。
ニューヨーク プロフィール|吉本興業株式会社 - YOSHIMOTO
プロフィールを見る. 性別:男性. 生年月日:1986年05月14日. 身長/体重:168cm /58kg. 血液型:O型. 出身地:山梨県 富士吉田市. 趣味:ロックライブ鑑賞、プロレス・格闘技観戦、映画鑑賞、CD収集、酒、パチンコ、筋トレ、ギター、献血、絵、人から服をもらうこと、知らない街を散策すること. 特技:空手(初段)、ものまね(堂本剛). 出身/入社/入門:NSC東京校 15期生.
ニューヨーク旅行ガイド「ニューヨークナビ」~世界15エリア ...
ニューヨーク旅行ならニューヨークナビ。現地旅行情報(ホテル、観光ツアー、ショッピングなど)をどこよりも早くゲット出来ます。
ニューヨーク旅行・ツアー・観光【HIS】
世界最大のテーマパークシティ・オーランド!ディズニー・リゾートやケネディ宇宙センターなど沢山のテーマパークがあります!ディズニーリゾートチケット組込み商品や、フリープランの各種アレンジプランもご用意しております!
ニューヨークのエリアを地図付きでわかりやすく解説してみま …
日本人の99%が言うニューヨークはニューヨーク市のこと. ニューヨークシティはマンハッタン・ブルックリン・クイーンズ・ブロンクス・スタテンアイランドの5エリアに分かれてる. 有名観光地はだいたいマンハッタン。. ブルックリンは近年一気に発展。. 筆者:こんな人が書いてます. SAGAT (さがっと) 2011〜16年の約5年間NY在住。. 留学生としてファッション工科大学 (FIT ...
新型コロナウイルス関連情報 | 在ニューヨーク日本国総領事館
· ご不明な点等ありましたら在ニューヨーク総領事館領事部(212-371-8222)までご連絡をお願いします。 海外在留邦人・日系人の生活・ビジネス基盤強化事業のご案内 日本からの米国宛郵便物について(日本郵便のお知らせ)
ニューヨーク情報 人気ブログランキング - 海外生活ブログ
ニューヨーク情報ブログの人気ブログランキングは数多くの人気ブログが集まるブログランキングサイトです。(参加無料) - 海外生活ブログ
The New York Times - Breaking News, US News, World ...
Live news, investigations, opinion, photos and video by the journalists of The New York Times from more than 150 countries around the world. Subscribe for coverage of U.S. and international news ...
