Компания GE Aviation оставила открытым сервер Jenkins, поставив под угрозу исходный код, пароли и т.д.
GE Aviation, являющаяся дочерней компанией General Electric, допустила утечку исходного кода, незашифрованных паролей, закрытых ключей и сведений о конфигурации системы. Поскольку GE Aviation входит в число крупнейших поставщиков двигателей и других деталей для самолетов, подобная утечка может привести к весьма неприятным последствиям.
Причиной утечки послужил неправильно сконфигурированный DNS, из-за которого сервер Jenkins оказался доступным для всех желающих. Jenkins представляет собой сервер автоматизации с открытым исходным кодом, написанным на языке Java. Неправильная конфигурация схемы DNS, конвертирующей читабельные доменные имена в IP-адреса, привела к тому, что сервер был полностью открыт и доступен через интернет.
Утечка была обнаружена исследователем безопасности Бобом Дяченко (Bob Diachenko) в июне нынешнего года. Исследователь связался с GE Aviation, и проблема была устранена. Как долго сервер оставался открытым, не известно.
По состоянию на 7 июля 2019 года Дяченко обнаружил через поисковик Shodan 5495 открытых и доступных установок Jenkins. Как пояснил исследователь, главная проблема с Jenkins (как и с другими серверами) заключается в отсутствии мастер-пароля для доступа к панели администрирования, из-за чего данные и код видны всем. Разработчики отключают парольную защиту для собственного удобства (например, когда работают над проектом удаленно), но тем самым ставят под угрозу безопасность данных.
