FBI发出一个会窃取美政府机构及私人企业源代码的安全警告

Android社区 发表于 收藏文章

该警报特别警告SonarQube的所有者。SonarQube是一个基于web的应用,各家公司将其集成到自己的软件构建链中以便在将代码和应用推出到生产环境之前测试源代码并发现安全缺陷。

SonarQube应用被安装在web服务器上并连接到源代码托管系统如BitBucket、GitHub、GitLab accounts或Azure DevOps systems。

但FBI表示,一些公司没有保护这些系统,它们使用的是默认的管理凭证(admin/admin)并在默认配置(端口9000)上运行。

FBI官员称,威胁者滥用这些错误配置来访问SonarQube具体目标并将其转移到连接的源代码库,然后访问和窃取私有/敏感的应用。

FBI的警告触及了一个软件开发人员和安全研究人员很少知道的问题。

网络安全行业经常就MongoDB或Elasticsearch数据库在没有密码的情况下暴露在网上的危险发出警告,但SonarQube却没有受到影响。然而一些安全研究人员早在2018年5月就已经就让SonarQube应用在网上暴露默认证书的危险发出过警告。

当时,数据泄露猎人Bob Diachenko警告称,那个时候在线可用的约3000个SonarQube实例中有30%到40%没有启用密码或身份验证机制。

Screenshot_2020-11-08 FBI Hackers stole source code from US government agencies and private companies ZDNet.png

今年,瑞士安全研究员Till Kottmann也提出了SonarQube实例配置不当的同样问题。据悉,Kottmann在一年的时间中通过一个公共门户网站收集了

Screenshot_2020-11-08 FBI Hackers stole source code from US government agencies and private companies ZDNet(1).png

为了防止这样的泄露,FBI的警告列出了公司可以采取的一系列保护措施,首先是改变应用的默认配置和凭证,然后使用防火墙来防止未经授权的用户对应用进行未经授权的访问。

相关标签
所有标签
 相关文章
王慧文病休53天,旗下OneFlow团队重新创业 8月以前  |  1次阅读
智己CEO现场怒怼!不满LS6和小鹏G6当对手 8月以前  |  1次阅读
董明珠回应落榜世界500强:总比爆雷的世界500强好 8月以前  |  1次阅读
阿里云上线 AI 视频生成工具 Live Portait:可一键让照片开口说话 8月以前  |  78次阅读
妙鸭相机将并入神力视界,阿里大文娱CTO郑勇:不是“搬家”是“回家” 8月以前  |  85次阅读
特斯拉上海超级工厂约40秒下线一台车,零部件本土化率超95% 8月以前  |  69次阅读
宁德时代发布神行超充电池,可实现充电10分钟行驶800里 8月以前  |  71次阅读
中科院博士被骗到缅甸已一年!女友:他负债几万,家里条件一般,以为去当翻译 8月以前  |  85次阅读
小鹏汽车否认收购玛莎拉蒂传闻:系谣言 8月以前  |  63次阅读
联想二季度净利润猛降66%,股价应声跳水 8月以前  |  80次阅读
业内人士:视觉中国对不同侵权主体采用差异化策略,老客由销售沟通新客发律师函 8月以前  |  70次阅读
恒大集团在美国申请破产保护 8月以前  |  56次阅读
劳斯莱斯首款纯电轿跑将在北美亮相 8月以前  |  89次阅读
realme印度前CEO确认加盟荣耀,即将推出手机新品 8月以前  |  88次阅读
OpenAI正在测试内容审核系统,一天可以完成六个月的工作 8月以前  |  80次阅读
谷歌百人“复仇者联盟”出击,将发对标GPT-4的大模型,26位研发主管名单流出 8月以前  |  77次阅读
OpenAI收购数字产品公司Global Illumination,为创立以来首笔公开收购 8月以前  |  80次阅读
海口规定:电动汽车充电服务费不得超过0.65元每度 8月以前  |  80次阅读
波音任命柳青为波音中国总裁 8月以前  |  88次阅读
业内人士谈图片复杂代理链:图片代理商越多摄影师分成越少 8月以前  |  67次阅读

扫一扫

在手机上阅读