纽约州 IT 办公室使用的内部代码存储库在网上曝光

据悉，纽约州政府IT部门使用的代码库暴露在互联网上，任何人都可以访问其中的项目，其中一些包含与州政府系统相关的密钥和密码。

周六，总部位于迪拜的SpiderSilk发现了暴露的GitLab服务器，这家网络安全公司因发现三星、ClearviewAI和MoviePass的数据泄露而受到赞誉。

组织使用GitLab在他们控制的服务器上协作开发和存储他们的源代码——以及项目运行所需的密钥、令牌和密码。但是，SpiderSilk的首席安全官MossabHussein告诉TechCrunch，暴露的服务器可以从Internet访问并进行配置，以便组织外部的任何人都可以创建一个用户帐户并不受阻碍地登录。

当TechCrunch访问GitLab服务器时，登录页面显示它正在接受新用户帐户。目前尚不清楚以这种方式访问​​GitLab服务器的确切时间，但来自暴露设备和数据库搜索引擎Shodan的历史记录显示，GitLab于3月18日首次在互联网上被检测到。

SpiderSilk分享了几张截图，显示GitLab服务器包含与属于纽约州信息技术服务办公室的服务器和数据库相关的密钥和密码。由于担心暴露的服务器可能被恶意访问或篡改，这家初创公司寻求帮助以向国家披露安全漏洞。

在服务器被发现后不久，TechCrunch就向纽约州长办公室通报了此事。打开了几封发送给州长办公室的电子邮件，其中包含暴露的GitLab服务器的详细信息，但没有得到回复。服务器在周一下午离线。

纽约州信息技术服务办公室发言人ScotReif表示，该服务器是“由供应商设置的测试箱，没有任何数据，并且已经被ITS停用。”（Reif宣布他的回复是“在背景中”并归因于一位国家官员，这将要求双方事先同意这些条款，但我们正在打印回复，因为我们没有机会拒绝这些条款。）

当被问到时，Reif不会说供应商是谁，也不会说服务器上的密码是否已更改。服务器上的几个项目被标记为“prod”，或者“生产”的常见简写，这是一个积极使用的服务器的术语。Reif也不愿透露该事件是否已报告给州检察长办公室。当到达时，总检察长的发言人在截稿时没有发表评论。

TechCrunch了解到，供应商是Indotronix-Avani，这是一家总部位于纽约的公司，在印度设有办事处，由风险投资公司NigamaVentures所有。几个屏幕截图显示了一些GitLab项目是由Indotronix-Avani的项目经理修改的。该供应商的网站在其网站上宣传纽约州以及其他政府客户，包括美国国务院和美国国防部。