Nokia’ning maxfiy ma’lumotlarini saqlaydigan xavfsiz bo‘lmagan server aniqlandi.
Nokia serverda hech qanday maxfiy ma’lumotlar saqlanmasligini aytmoqda, ammo xavfsizlik bo’yicha tadqiqotchi buning aksini taxmin qilmoqda.
Xavfsizlik bo’yicha tadqiqotchi Bob Diachenko bir necha bor maxfiy ma’lumotlarni o’z ichiga olgan himoyalanmagan serverlarni aniqlagan holda yangi kashfiyot haqida xabar berdi. Bu safar tadqiqotchi tasodifan Finlyandiyaning Nokia kompaniyasining korporativ ma’lumotlari, shifrlash kalitlari va API kalitlarini o’z ichiga olgan himoyalanmagan etcd serveriga duch keldi. etcd – bu korporativ va bulutli muhitda keng qo’llaniladigan ma’lumotlar bazasi serveri. Bu uning klaster/konteyner tizimi orqali joylashtirilgan ilovalar uchun parollar va kirish tokenlarini saqlash uchun ishlatiladigan standart CoreOS komponentidir.
13-dekabr kuni Shodan’da qidiruv o‘tkazayotganda Dyachenko tasodifan himoyalanmagan va hokazo serverga duch keldi. Tadqiqotchi uni darhol Nokia’ga tegishli deb topdi. Uning xabar berishicha, serverda Heketi, Redis va Weave ilovalari uchun hisob ma’lumotlari, Kubernetes maxfiy shifrlash kalitlari, Gluster foydalanuvchisining maxfiy kaliti, SSH va RSA maxfiy kalitlari, klaster kalitlari, AWS S3 maxfiy kalitlari va boshqalar mavjud.
Nokia vakillari serverda hech qanday maxfiy ma’lumotlar saqlanmaganligini ta’kidladilar. «Ushbu AWS serveri ancha oldin ishlab chiquvchilarimizdan biri tomonidan sinov maqsadida yaratilgan. Serverda hech qanday maxfiy ma’lumotlar yoki ichki ma’lumotlar saqlanmaydi. Biroq, biz ushbu hodisadan Nokia R&D xodimlari orasida xabardorlikni oshirish uchun foydalanmoqdamiz», dedi Nokia ZDNet nashriga.
Biroq, Dyachenko o’zi kashf etgan ma’lumotlar faqat sinov uchun ishlatilgan degan fikrga qarshi chiqadi. «Bu umuman sinov muhitiga o’xshamaydi. Aksincha, bu haqiqiy xazina», deb ta’kidladi tadqiqotchi.
