Учетка крупнейшего в мире музыкального холдинга оказалась незащищенной

Опубликовано at 18:27
583 0

FTP-данные, SQL пароли и другие данные IT-инфраструктуры мегахолдинга Universal Music Group (UMG) хранились на незащищенном сервере. Теоретически кто угодно мог ими воспользоваться и залезть внутрь сети музыкального гиганта.

Виноват оказался сторонний подрядчик, компания Agilisium, которая, управляя частью IT-систем UMG, настроила сервер Apache Airflow без парольной защиты. Такие серверы, как правило, применяют в больших IT-инфраструктурах для создания и выполнения автоматизированных задач на различных машинах.

Так как Apache Airflow предназначены для использования во внутренних сетях с межсетевыми экранами, разработчики решили упростить процесс работы и отключить механизм авторизации по умолчанию, о чем написано в разделе «Безопасность» документации Apache Airflow.

Подрядчик UMG, по всей видимости, не дочитал документацию, или проигнорировал предупреждение разработчиков. На лежащие в открытом доступе данные UMG в мае случайно наткнулся исследователь ИБ-компании Kromtech Боб Дяченко (Bob Diachenko). По его словам, на сервере лежали учетные данные FTP, секретный ключ и пароль AWS, пароли SQL и внутренний исходный код для IT-сети, которые таким образом открывали доступ ко всей IT-инфраструктуре UMG. Холдинг оперативно устранил проблему с безопасностью. Agilisium никак не отреагировала на инцидент.

Подписываемся, следим @CyberAgency

Related Post

Разработчики ПО стали главной целью кибератак

Опубликовано - 14.08.2019 0
Киберпреступники, атакующие технологические компании, имеют вполне конкретную цель: разработчиков ПО. Такая информация содержится в отчете «August 2019 Threat Intelligence Bulletin», подготовленном…

Ужесточавшего криптовалютное законодательство корейского чиновника нашли мертвым

Опубликовано - 20.02.2018 0
Решения по регулированию криптовалют в Южной Корее сильно влияли на курс биткоина и всех альткоинов. Чиновника, который закручивал гайки, звали…

Adobe и Microsoft спешно латают продукты: уязвимости нулевого дня все никак не закончатся

Опубликовано - 12.12.2018 0
Очередное глобальное исправление выкатила Microsoft, оно, в основном, фиксит уже активно эксплуатируемые злоумышленниками уязвимости. В общей сложности в декабрьском обновлении…

Секретные флэш-накопители русских солдат: красный секретный и синий не очень

Опубликовано - 27.11.2018 0
«Известия» сообщают, что в российской армии, наконец, наведут порядок в области кибербезопасности среди личного состава. Российские военные получат специальные флеш-накопители…

Добавить комментарий