Comodo зберігала облікові дані у загальнодоступному репозиторії на GitHub
Comodo зберігала облікові дані у загальнодоступному репозиторії на GitHub
Розробник програмного забезпечення Comodo з недогляду зберігав облікові дані для свого облікового запису в хмарному сервісі в загальнодоступному репозиторії на GitHub. Дослідник з Нідерландів зміг увійти в обліковий запис у хмарному сервісі компанії в OneDrive і отримати доступ до внутрішніх документів, файлів, а також до центру Comodo, що засвідчує, використовуючи адресу електронної пошти та пароль, що знаходилися у відкритому доступі. Обліковий запис не був захищений двофакторною автентифікацією, пише TechCrunch.
Він зміг отримати доступ до внутрішніх файлів і документів Comodo, включаючи фінансові документи та електронні таблиці в OneDrive, а також до відомостей про біографії співробітників, контактну інформацію, фотографії, документи клієнтів, календар і т.п. містять угоди та контракти з клієнтами, включаючи лікарні та урядові установи США. Серед документів також були звіти Comodo про вразливість.
За його словами, обліковий запис до цього вже був зламаний і з нього розсилався спам.
Як пояснив віце-президент Comodo, йдеться про «автоматизований обліковий запис, який використовується в маркетингових цілях». Протягом кількох годин після повідомлення дослідника обліковий запис було заблоковано.
Розробники часто зберігають облікові дані у загальнодоступних репозиторіях. Раніше дослідники виявили в репозиторії одного з інженерів ASUS пароль до поштового облікового запису, який використовується для внутрішньої автоматизованої розсилки нічних збірок.