Se expuso en línea un repositorio de código interno utilizado por la oficina de TI del estado de Nueva York

Un repositorio de código utilizado por el departamento de TI del gobierno del estado de Nueva York quedó expuesto en Internet, lo que permitió que cualquiera pudiera acceder a los proyectos en su interior, algunos de los cuales contenían claves secretas y contraseñas asociadas con los sistemas del gobierno estatal.
El servidor GitLab expuesto fue descubierto el sábado por SpiderSilk, una empresa de ciberseguridad con sede en Dubai a la que se le atribuye el descubrimiento de derrames de datos en Samsung, Clearview AI y MoviePass.
Las organizaciones utilizan GitLab para desarrollar y almacenar de forma colaborativa su código fuente, así como las claves secretas, los tokens y las contraseñas necesarias para que los proyectos funcionen, en los servidores que controlan. Pero el servidor expuesto era accesible desde Internet y configurado para que cualquier persona ajena a la organización pudiera crear una cuenta de usuario e iniciar sesión sin obstáculos, dijo a TechCrunch el director de seguridad de SpiderSilk, Mossab Hussin.
Cuando TechCrunch visitó el servidor de GitLab, la página de inicio de sesión mostró que estaba aceptando nuevas cuentas de usuario. No se sabe exactamente cuánto tiempo estuvo accesible el servidor de GitLab de esta manera, pero los registros históricos de Shodan, un motor de búsqueda de dispositivos y bases de datos expuestos, muestran que GitLab se detectó por primera vez en Internet el 18 de marzo.
SpiderSilk compartió varias capturas de pantalla que muestran que el servidor de GitLab contenía claves secretas y contraseñas asociadas con servidores y bases de datos pertenecientes a la Oficina de Servicios de Tecnología de la Información del Estado de Nueva York. Temiendo que se pudiera acceder o manipular maliciosamente el servidor expuesto, la startup pidió ayuda para revelar el fallo de seguridad al estado.
TechCrunch alertó a la oficina del gobernador de Nueva York sobre la exposición poco tiempo después de que se encontró el servidor. Se abrieron varios correos electrónicos a la oficina del gobernador con detalles del servidor GitLab expuesto, pero no se respondió. El servidor se desconectó el lunes por la tarde.
Scot Reif, portavoz de la Oficina de Servicios de Tecnología de la Información del Estado de Nueva York, dijo que el servidor era "una caja de prueba configurada por un proveedor, no hay datos de ningún tipo y ya ha sido desmantelado por ITS". (Reif declaró su respuesta "en segundo plano" y atribuible a un funcionario estatal, lo que requeriría que ambas partes acuerden los términos por adelantado, pero estamos imprimiendo la respuesta ya que no se nos dio la oportunidad de rechazar los términos).
Cuando se le preguntó, Reif no dijo quién era el proveedor o si se cambiaron las contraseñas en el servidor. Varios proyectos en el servidor se marcaron como "prod", o la abreviatura común de "producción", un término para los servidores que se utilizan activamente. Reif tampoco quiso decir si el incidente se informó a la oficina del Fiscal General del estado. Cuando fue contactado, un portavoz del Fiscal General no hizo comentarios al cierre de esta edición.
TechCrunch entiende que el proveedor es Indotronix-Avani, una empresa con sede en Nueva York con oficinas en India y propiedad de la firma de capital de riesgo Nigama Ventures. Varias capturas de pantalla muestran que algunos de los proyectos de GitLab fueron modificados por un gerente de proyectos en Indotronix-Avani. El sitio web del proveedor promociona el estado de Nueva York en su sitio web, junto con otros clientes gubernamentales, incluidos el Departamento de Estado de EE. UU. Y el Departamento de Defensa de EE. UU.
El portavoz de Indotronix-Avani, Mark Edmonds, no respondió a las solicitudes de comentarios.
Lee mas: