Крупнейший британский сотовый оператор EE (насчитывает порядка 30 млн абонентов) был вынужден принять меры по обеспечению безопасности своего ключевого репозитория кодов после того, как обнаружилось, что авторизоваться в нем мог любой желающий с помощью дефолтных учетных данных.
Исследователь безопасности под псевдонимом Six обнаружил на поддомене EE портал Sonarqube, использующийся сотовым оператором для аудита кода и поиска уязвимостей на своем сайте и портале для клиентов. Авторизоваться на портале мог кто угодно, используя оставленные по умолчанию логин и пароль (admin/admin).
С помощью дефолтных учетных данных Six авторизовался в репозитории и получил доступ к двум миллионам строк кода, в том числе к частным API сотрудников EE и разработчиков, а также к закрытым ключам Amazon Web Services. По словам исследователя, с помощью закрытых ключей злоумышленник может получить еще больший доступ к хранилищам компании, web-серверам и другим конфиденциальным данным, таким как отчеты об отладке.
«Злоумышленник может проанализировать код их (EE – ред.) платежных систем и найти серьезные уязвимости, эксплуатация которых может привести к утечке платежной информации», — сообщил исследователь.

Источник: securitylab.ru