據(jù)外媒報(bào)道,，紐約州政府IT部門使用的一個(gè)代碼庫被暴露在互聯(lián)網(wǎng)上，允許任何人訪問里面的項(xiàng)目，其中一些項(xiàng)目包含與州政府系統(tǒng)相關(guān)的秘密密鑰和密碼,。暴露的GitLab服務(wù)器于周六被總部位于迪拜的SpiderSilk發(fā)現(xiàn)，這家網(wǎng)絡(luò)安全公司因發(fā)現(xiàn)三星,、Clearview AI和MoviePass的數(shù)據(jù)泄漏而聲名大噪,。

　　企業(yè)使用GitLab協(xié)作開發(fā)并將其源代碼--以及項(xiàng)目運(yùn)作所需的秘密密鑰、令牌和密碼--存儲(chǔ)在他們控制的服務(wù)器上,。但SpiderSilk的首席安全官M(fèi)ossab Hussein告訴TechCrunch,，被暴露的服務(wù)器可以從互聯(lián)網(wǎng)上訪問，并被配置為該組織以外的任何人都可以創(chuàng)建一個(gè)用戶賬戶并不受阻礙地登錄,。

　　當(dāng)TechCrunch訪問GitLab服務(wù)器時(shí),，登錄頁面顯示它正在接受新的用戶賬戶。目前還不知道GitLab服務(wù)器以這種方式被訪問的確切時(shí)間,，但來自Shodan的歷史記錄顯示,，GitLab于3月18日首次在互聯(lián)網(wǎng)上被發(fā)現(xiàn)。

　　SpiderSilk分享的幾張截圖顯示,，GitLab服務(wù)器包含與屬于紐約州信息技術(shù)服務(wù)辦公室的服務(wù)器和數(shù)據(jù)庫相關(guān)的秘密密鑰和密碼,。由于擔(dān)心暴露的服務(wù)器可能被惡意訪問或篡改，這家初創(chuàng)公司請(qǐng)求幫助,，向州政府披露這一安全漏洞,。

　　在服務(wù)器被發(fā)現(xiàn)后不久，TechCrunch就向紐約州長辦公室通報(bào)了這一曝光,。向州長辦公室發(fā)送的幾封關(guān)于暴露的GitLab服務(wù)器細(xì)節(jié)的電子郵件被打開,，但沒有得到回應(yīng)。該服務(wù)器于周一下午下線,。

　　紐約州信息技術(shù)服務(wù)辦公室的發(fā)言人Scot Reif說,，該服務(wù)器是“一個(gè)由供應(yīng)商建立的測(cè)試箱，沒有任何數(shù)據(jù),，而且它已經(jīng)被ITS退役了”,。（Reif宣稱他的答復(fù)是 “背景性的”，可歸因于一位州政府官員,，這需要雙方事先同意這些條款,。）

　　當(dāng)被問及時(shí)，Reif不愿透露供應(yīng)商是誰,，也不愿透露服務(wù)器上的密碼是否被更改,。服務(wù)器上的幾個(gè)項(xiàng)目被標(biāo)記為 “prod”，也就是 “production ”的常用縮寫,，一個(gè)指正在積極使用的服務(wù)器的術(shù)語,。Reif也不愿透露該事件是否被報(bào)告給州司法部長辦公室,。在記者采訪時(shí)，司法部長的發(fā)言人沒有發(fā)表評(píng)論,。

　　據(jù)TechCrunch了解,，供應(yīng)商是Indotronix-Avani，這是一家總部設(shè)在紐約的公司,，在印度設(shè)有辦事處,，由風(fēng)險(xiǎn)投資公司Nigama Ventures擁有。幾張截圖顯示一些GitLab項(xiàng)目是由Indotronix-Avani的項(xiàng)目經(jīng)理修改的,。該供應(yīng)商的網(wǎng)站上吹捧其擁有紐約州政府等其他政府客戶,，包括美國國務(wù)院和美國國防部。

　　Indotronix-Avani公司的發(fā)言人Mark Edmonds沒有對(duì)評(píng)論請(qǐng)求作出回應(yīng),。