Учетные данные, открывающие доступ ко всей IT-инфраструктуре крупнейшего медиа-холдинга Universal Music Group (UMG), оказались в открытом доступе из-за нерадивого подрядчика. Сторонняя компания, управляющая частью IT-систем UMG, настроила сервер Apache Airflow без парольной защиты.
Серверы Apache Airflow, как правило, используются в больших IT-инфраструктурах для создания и выполнения автоматизированных задач на различных машинах. В связи с этим учетные данные для доступа к другим системам в корпоративной IT-инфраструктуре, где выполняются автоматизированные задачи, хранятся непосредственно на сервере.
Серверы Apache Airflow предназначены для использования во внутренних сетях, защищенных межсетевыми экранами. Поэтому разработчики Apache Airflow решили облегчить жизнь инженерам и отключить механизм авторизации по умолчанию. Тем не менее, осознавая, что такой подход может вызвать проблемы, в разделе «Безопасность» документации Apache Airflow они написали предупреждение: «По умолчанию все ворота открыты».
Подрядчик UMG, похоже, проигнорировал предупреждение разработчиков. Ранее в этом месяце исследователь ИБ-компании Kromtech Боб Дяченко (Bob Diachenko) обнаружил подключенный к интернету незащищенный сервер Apache Airflow с учетными данными для доступа ко всей IT-инфраструктуре UMG. Дяченко обнаружил на сервере учетные данные FTP, секретный ключ и пароль AWS, пароли SQL и внутренний исходный код для IT-сети.
По словам исследователя, управлением сервера занимался подрядчик – компания Agilisium. Однако в своем отчете о проблеме Дяченко винит в утечке не только его, но и разработчиков Apache Airflow, не уделивших должного внимания безопасности своего продукта.
Исследователь сообщил UMG о проблеме, и она была незамедлительно устранена.

Источник: securitylab.ru