據(jù)外媒報道，紐約州政府IT部門使用的一個代碼庫被暴露在互聯(lián)網(wǎng)上，允許任何人訪問里面的項目，其中一些項目包含與州政府系統(tǒng)相關的秘密密鑰和密碼。暴露的GitLab服務器于周六被總部位于迪拜的SpiderSilk發(fā)現(xiàn)，這家網(wǎng)絡安全公司因發(fā)現(xiàn)三星、Clearview AI和MoviePass的數(shù)據(jù)泄漏而聲名大噪。

　　企業(yè)使用GitLab協(xié)作開發(fā)并將其源代碼--以及項目運作所需的秘密密鑰、令牌和密碼--存儲在他們控制的服務器上。但SpiderSilk的首席安全官Mossab Hussein告訴TechCrunch，被暴露的服務器可以從互聯(lián)網(wǎng)上訪問，并被配置為該組織以外的任何人都可以創(chuàng)建一個用戶賬戶并不受阻礙地登錄。

　　當TechCrunch訪問GitLab服務器時，登錄頁面顯示它正在接受新的用戶賬戶。目前還不知道GitLab服務器以這種方式被訪問的確切時間，但來自Shodan的歷史記錄顯示，GitLab于3月18日首次在互聯(lián)網(wǎng)上被發(fā)現(xiàn)。

　　SpiderSilk分享的幾張截圖顯示，GitLab服務器包含與屬于紐約州信息技術服務辦公室的服務器和數(shù)據(jù)庫相關的秘密密鑰和密碼。由于擔心暴露的服務器可能被惡意訪問或篡改，這家初創(chuàng)公司請求幫助，向州政府披露這一安全漏洞。

　　在服務器被發(fā)現(xiàn)后不久，TechCrunch就向紐約州長辦公室通報了這一曝光。向州長辦公室發(fā)送的幾封關于暴露的GitLab服務器細節(jié)的電子郵件被打開，但沒有得到回應。該服務器于周一下午下線。

　　紐約州信息技術服務辦公室的發(fā)言人Scot Reif說，該服務器是“一個由供應商建立的測試箱，沒有任何數(shù)據(jù)，而且它已經(jīng)被ITS退役了”。（Reif宣稱他的答復是 “背景性的”，可歸因于一位州政府官員，這需要雙方事先同意這些條款。）

　　當被問及時，Reif不愿透露供應商是誰，也不愿透露服務器上的密碼是否被更改。服務器上的幾個項目被標記為 “prod”，也就是 “production ”的常用縮寫，一個指正在積極使用的服務器的術語。Reif也不愿透露該事件是否被報告給州司法部長辦公室。在記者采訪時，司法部長的發(fā)言人沒有發(fā)表評論。

　　據(jù)TechCrunch了解，供應商是Indotronix-Avani，這是一家總部設在紐約的公司，在印度設有辦事處，由風險投資公司Nigama Ventures擁有。幾張截圖顯示一些GitLab項目是由Indotronix-Avani的項目經(jīng)理修改的。該供應商的網(wǎng)站上吹捧其擁有紐約州政府等其他政府客戶，包括美國國務院和美國國防部。

　　Indotronix-Avani公司的發(fā)言人Mark Edmonds沒有對評論請求作出回應。