Учетка крупнейшего в мире музыкального холдинга оказалась незащищенной

Опубликовано at 18:27
84 0

FTP-данные, SQL пароли и другие данные IT-инфраструктуры мегахолдинга Universal Music Group (UMG) хранились на незащищенном сервере. Теоретически кто угодно мог ими воспользоваться и залезть внутрь сети музыкального гиганта.

Виноват оказался сторонний подрядчик, компания Agilisium, которая, управляя частью IT-систем UMG, настроила сервер Apache Airflow без парольной защиты. Такие серверы, как правило, применяют в больших IT-инфраструктурах для создания и выполнения автоматизированных задач на различных машинах.

Так как Apache Airflow предназначены для использования во внутренних сетях с межсетевыми экранами, разработчики решили упростить процесс работы и отключить механизм авторизации по умолчанию, о чем написано в разделе «Безопасность» документации Apache Airflow.

Подрядчик UMG, по всей видимости, не дочитал документацию, или проигнорировал предупреждение разработчиков. На лежащие в открытом доступе данные UMG в мае случайно наткнулся исследователь ИБ-компании Kromtech Боб Дяченко (Bob Diachenko). По его словам, на сервере лежали учетные данные FTP, секретный ключ и пароль AWS, пароли SQL и внутренний исходный код для IT-сети, которые таким образом открывали доступ ко всей IT-инфраструктуре UMG. Холдинг оперативно устранил проблему с безопасностью. Agilisium никак не отреагировала на инцидент.

Подписываемся, следим @CyberAgency

Related Post

Великобритания потратит 50 млн фунтов на киберзащиту больниц

Опубликовано - 16.05.2017 0
Власти Великобритании потратят дополнительно 50 млн фунтов стерлингов на обеспечение безопасности компьютерных систем Национальной службы здравоохранения (NHS). Об этом в…

Миллионы пользователей загрузили вредоносное программное обеспечение ExpensiveWall через Google Play

Опубликовано - 18.09.2017 0
Недавно обнаруженное вредоносное ПО для Android, который создали, чтобы заразить около 50 приложений в Google Play, было скачано в диапазоне…

РЖД создаст беспилотные поезда

Опубликовано - 22.05.2018 0
РЖД всерьез задумалась о создании беспилотных составов и обсуждает эту перспективу с производителями локомотивов. По мнению компании, такие поезда оптимально…

Добавить комментарий