न्यूयॉर्क राज्य के आईटी कार्यालय द्वारा उपयोग किए जाने वाले एक आंतरिक कोड रेपो को ऑनलाइन उजागर किया गया था – News Reort

Posted on

न्यूयॉर्क राज्य सरकार के आईटी विभाग द्वारा इस्तेमाल किए गए एक कोड भंडार को इंटरनेट पर खुला छोड़ दिया गया था, जिससे किसी को भी परियोजनाओं तक पहुंचने की इजाजत मिल गई, जिनमें से कुछ में राज्य सरकार के सिस्टम से जुड़े गुप्त कुंजी और पासवर्ड शामिल थे।

उजागर हुए GitLab सर्वर की खोज शनिवार को दुबई स्थित स्पाइडरसिल्क द्वारा की गई, जो एक साइबर सुरक्षा कंपनी है, जिसे डेटा स्पिल की खोज करने का श्रेय दिया जाता है। सैमसंग, क्लियरव्यू एआई तथा मूवीपास.

संगठन अपने स्रोत कोड को सहयोगात्मक रूप से विकसित करने और संग्रहीत करने के लिए GitLab का उपयोग करते हैं – साथ ही परियोजनाओं के काम करने के लिए आवश्यक गुप्त कुंजी, टोकन और पासवर्ड – उन सर्वर पर जिन्हें वे नियंत्रित करते हैं। स्पाइडरसिल्क के मुख्य सुरक्षा अधिकारी मोसाब हुसैन ने News Reort को बताया, लेकिन खुला सर्वर इंटरनेट से एक्सेस किया जा सकता था और कॉन्फ़िगर किया गया था ताकि संगठन के बाहर से कोई भी उपयोगकर्ता खाता बना सके और बिना किसी बाधा के लॉग इन कर सके।

जब News Reort ने GitLab सर्वर का दौरा किया, तो लॉगिन पेज ने दिखाया कि यह नए उपयोगकर्ता खातों को स्वीकार कर रहा है। यह ठीक से ज्ञात नहीं है कि इस तरह से GitLab सर्वर कितने समय तक पहुँच योग्य था, लेकिन ऐतिहासिक रिकॉर्ड उजागर उपकरणों और डेटाबेस के लिए एक खोज इंजन शोडन से पता चलता है कि GitLab को पहली बार 18 मार्च को इंटरनेट पर खोजा गया था।

स्पाइडरसिल्क ने कई स्क्रीनशॉट साझा किए, जिसमें दिखाया गया था कि GitLab सर्वर में न्यूयॉर्क राज्य के सूचना प्रौद्योगिकी सेवाओं के कार्यालय से संबंधित सर्वर और डेटाबेस से जुड़ी गुप्त कुंजियाँ और पासवर्ड थे। इस डर से कि एक्सपोज्ड सर्वर को दुर्भावनापूर्ण तरीके से एक्सेस किया जा सकता है या उसके साथ छेड़छाड़ की जा सकती है, स्टार्टअप ने राज्य को सुरक्षा चूक का खुलासा करने में मदद मांगी।

सर्वर मिलने के कुछ ही समय बाद News Reort ने न्यूयॉर्क के गवर्नर के कार्यालय को एक्सपोजर के लिए सतर्क कर दिया। उजागर हुए GitLab सर्वर के विवरण के साथ राज्यपाल के कार्यालय को कई ईमेल खोले गए, लेकिन उनका कोई जवाब नहीं दिया गया। सोमवार दोपहर सर्वर ऑफलाइन हो गया।

न्यूयॉर्क राज्य के सूचना प्रौद्योगिकी सेवाओं के कार्यालय के प्रवक्ता स्कॉट रीफ ने कहा कि सर्वर “एक विक्रेता द्वारा स्थापित एक परीक्षण बॉक्स था, कोई डेटा नहीं है, और इसे पहले ही आईटीएस द्वारा हटा दिया गया है।” (रीफ ने अपनी प्रतिक्रिया “पृष्ठभूमि पर” और एक राज्य अधिकारी के कारण घोषित की, जिसके लिए दोनों पक्षों को अग्रिम रूप से शर्तों से सहमत होना होगा, लेकिन हम उत्तर को प्रिंट कर रहे हैं क्योंकि हमें शर्तों को अस्वीकार करने का अवसर नहीं दिया गया था।)

पूछे जाने पर, रीफ यह नहीं बताएगा कि विक्रेता कौन था या सर्वर पर पासवर्ड बदले गए थे। सर्वर पर कई परियोजनाओं को “उत्पादन” या “उत्पादन” के लिए सामान्य शॉर्टहैंड चिह्नित किया गया था, जो सक्रिय रूप से उपयोग किए जाने वाले सर्वरों के लिए एक शब्द है। रीफ यह भी नहीं बताएंगे कि क्या घटना की सूचना राज्य के अटॉर्नी जनरल के कार्यालय को दी गई थी। पहुंचने पर, अटॉर्नी जनरल के एक प्रवक्ता ने प्रेस समय के अनुसार कोई टिप्पणी नहीं की।

News Reort समझता है कि विक्रेता इंडोट्रोनिक्स-अवनी है, जो भारत में कार्यालयों के साथ न्यूयॉर्क स्थित एक कंपनी है, और उद्यम पूंजी फर्म निगमा वेंचर्स के स्वामित्व में है। कई स्क्रीनशॉट दिखाते हैं कि कुछ GitLab प्रोजेक्ट्स को Indotronix-Avani के एक प्रोजेक्ट मैनेजर द्वारा संशोधित किया गया था। विक्रेता की वेबसाइट पर न्यूयॉर्क राज्य की जानकारी दी जाती है इसकी वेबसाइट, अमेरिकी विदेश विभाग और अमेरिकी रक्षा विभाग सहित अन्य सरकारी ग्राहकों के साथ।

इंडोट्रोनिक्स-अवनी के प्रवक्ता मार्क एडमंड्स ने टिप्पणी के अनुरोधों का जवाब नहीं दिया।

अधिक पढ़ें:

Leave a Reply

Your email address will not be published. Required fields are marked *