Samolyot qismlarini ishlab chiqaruvchi yirik kompaniya ma’lumotlar sizib chiqishiga duch keldi.
GE Aviation oʻzining Jenkins serverini ochiq qoldirib, manba kodi, parollar va boshqalarni buzdi.
General Electric sho‘ba korxonasi bo‘lgan GE Aviation manba kodi, shifrlanmagan parollar, shaxsiy kalitlar va tizim konfiguratsiyasi ma’lumotlarini oshkor qildi. GE Aviation dvigatellar va boshqa samolyot komponentlarining asosiy yetkazib beruvchisi bo‘lganligi sababli, bunday oqish dahshatli oqibatlarga olib kelishi mumkin. Oqish noto‘g‘ri sozlangan DNS sabab bo‘lgan, bu esa Jenkins serveridan hamma foydalanishi mumkin bo‘lgan. Jenkins Java-da yozilgan ochiq manbali avtomatlashtirish serveridir. Odam o‘qishi mumkin bo‘lgan domen nomlarini IP manzillarga aylantiruvchi DNS sxemasining noto‘g‘ri konfiguratsiyasi serverni butunlay ochiq va internet orqali foydalanish imkoniyatini qoldirdi.
Oqib chiqishni xavfsizlik bo‘yicha tadqiqotchi Bob Diachenko shu yilning iyun oyida aniqlagan edi. Tadqiqotchi GE Aviation bilan bog‘landi va muammo hal qilindi. Server qancha vaqt ochiqligi noma’lum.
2019-yil 7-iyul holatiga ko‘ra, Dyachenko Shodan qidiruv tizimidan foydalangan holda 5495 ta ochiq va foydalanish mumkin bo‘lgan Jenkins qurilmalarini topdi. Tadqiqotchi tushuntirganidek, Jenkins bilan bog’liq asosiy muammo (boshqa serverlarda bo’lgani kabi) ma’muriyat paneliga kirish uchun asosiy parolning yo’qligi, ma’lumotlar va kodlarni hamma uchun ko’rinadigan qilishdir. Ishlab chiquvchilar o’zlariga qulaylik uchun parol bilan himoya qilishni o’chirib qo’yishadi (masalan, loyihada masofadan turib ishlashda), lekin bu ma’lumotlar xavfsizligini buzadi.
