События

Ключи ко всей IT-инфраструктуре Universal Music Group находились в открытом доступе

Учетные данные, открывающие доступ ко всей IT-инфраструктуре крупнейшего медиа-холдинга Universal Music Group (UMG), оказались в открытом доступе из-за нерадивого подрядчика. Сторонняя компания, управляющая частью IT-систем UMG, настроила сервер Apache Airflow без парольной защиты.

Серверы Apache Airflow, как правило, используются в больших IT-инфраструктурах для создания и выполнения автоматизированных задач на различных машинах. В связи с этим учетные данные для доступа к другим системам в корпоративной IT-инфраструктуре, где выполняются автоматизированные задачи, хранятся непосредственно на сервере.

Серверы Apache Airflow предназначены для использования во внутренних сетях, защищенных межсетевыми экранами. Поэтому разработчики Apache Airflow решили облегчить жизнь инженерам и отключить механизм авторизации по умолчанию. Тем не менее, осознавая, что такой подход может вызвать проблемы, в разделе «Безопасность» документации Apache Airflow они написали предупреждение: «По умолчанию все ворота открыты».

Подрядчик UMG, похоже, проигнорировал предупреждение разработчиков. Ранее в этом месяце исследователь ИБ-компании Kromtech Боб Дяченко (Bob Diachenko) обнаружил подключенный к интернету незащищенный сервер Apache Airflow с учетными данными для доступа ко всей IT-инфраструктуре UMG. Дяченко обнаружил на сервере учетные данные FTP, секретный ключ и пароль AWS, пароли SQL и внутренний исходный код для IT-сети.

По словам исследователя, управлением сервера занимался подрядчик – компания Agilisium. Однако в своем отчете о проблеме Дяченко винит в утечке не только его, но и разработчиков Apache Airflow, не уделивших должного внимания безопасности своего продукта.

Исследователь сообщил UMG о проблеме, и она была незамедлительно устранена.

Источник

Автор: Сергей Куприянов
31.05.2018 (09:07)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.