Comodo хранила учетные данные в общедоступном репозитории на GitHub

Разработчик программного обеспечения Comodo по недосмотру хранил учетные данные для своего аккаунта в облачном сервисе в общедоступном репозитории на GitHub. Исследователь из Нидерландов смог войти в учетную запись в облачном сервисе компании в OneDrive и получить доступ к внутренним документам, файлам, а также к удостоверяющему центру Comodo, используя адрес электронной почты и пароль, находившиеся в открытом доступе. Учетная запись не была защищена двухфакторной аутентификацией, пишет TechCrunch.

Он смог получить доступ к внутренним файлам и документам Comodo, включая финансовые документы и электронные таблицы в OneDrive, а также к сведениям о биографиях сотрудников, контактной информации, фотографиям, документам клиентов, календарю и пр. В учетной записи также находились папки, содержащие соглашения и контракты с клиентами, включая больницы и правительственные учреждения США. Среди документов также были отчеты Comodo об уязвимостях.

По его словам, аккаунт до этого уже был взломан и с него рассылался спам.

Как пояснил вице-президент Comodo, речь идет об «автоматизированной учетной записи, используемой в маркетинговых целях». В течение нескольких часов после уведомления исследователя учетная запись была заблокирована.

Разработчики часто хранят учетные данные в общедоступных репозиториях. Ранее исследователи обнаружили в репозитории одного из инженеров ASUS пароль к почтовому аккаунту, используемому для внутренней автоматизированной рассылки ночных сборок.