FTP-данные, SQL пароли и другие данные IT-инфраструктуры мегахолдинга Universal Music Group (UMG) хранились на незащищенном сервере. Теоретически кто угодно мог ими воспользоваться и залезть внутрь сети музыкального гиганта.
Виноват оказался сторонний подрядчик, компания Agilisium, которая, управляя частью IT-систем UMG, настроила сервер Apache Airflow без парольной защиты. Такие серверы, как правило, применяют в больших IT-инфраструктурах для создания и выполнения автоматизированных задач на различных машинах.
Так как Apache Airflow предназначены для использования во внутренних сетях с межсетевыми экранами, разработчики решили упростить процесс работы и отключить механизм авторизации по умолчанию, о чем написано в разделе «Безопасность» документации Apache Airflow.
Подрядчик UMG, по всей видимости, не дочитал документацию, или проигнорировал предупреждение разработчиков. На лежащие в открытом доступе данные UMG в мае случайно наткнулся исследователь ИБ-компании Kromtech Боб Дяченко (Bob Diachenko). По его словам, на сервере лежали учетные данные FTP, секретный ключ и пароль AWS, пароли SQL и внутренний исходный код для IT-сети, которые таким образом открывали доступ ко всей IT-инфраструктуре UMG. Холдинг оперативно устранил проблему с безопасностью. Agilisium никак не отреагировала на инцидент.
