ジャマイカ政府の新型コロナアプリ請負業者Amber Groupが今月2度目のセキュリティ事故

2017-08-24_00h03_35 IT総合
Amber Groupは、ジャマイカ政府のJamCOVIDアプリ及びウェブサイトの秘密鍵とパスワードが漏洩した2つ目のセキュリティ過失を修正した。
米国時間2月21日にセキュリティ研究者がTechCrunchに語ったところによると、Amber GroupはJamCOVIDのウェブサイトに誤ってファイルを残してしまい、そのファイルにはJamCOVIDのサイトとアプリを実行しているバックエンドシステム、ストレージ、データベースへのアクセスを許可するパスワードが含まれていたという。同研究者は、ジャマイカ政府からの法的な影響を恐れて、匿名を要求した。
このファイルは、環境変数(.env)ファイルとして知られており、クラウドアプリケーションの動作に必要なサードパーティサービスの秘密鍵やパスワードを格納するためによく使用される。しかし、これらのファイルはうっかり公開されたり、誤ってアップロードされることもあり、悪意のあるハッカーによって発見された場合、クラウドアプリケーションが依存しているデータやサービスへのアクセスを得るために悪用される可能性がある。
露出された環境変数ファイルは、JamCOVIDのウェブサイト上のオープンディレクトリで発見された。JamCOVIDのドメインは同国保健省のウェブサイトにあるように見えるが、JamCOVIDのダッシュボード、アプリ、そしてウェブサイトは請負会社で

リンク元

コメント

タイトルとURLをコピーしました