외신에 따르면 최근 뉴욕 주정부 IT 부서에서 사용하는 내부 코스베이스가 유출돼 누구나 내부 항목에 접근 가능할 뿐만 아니라 일부 항복에는 주정부 시스템과 관련된 비밀 키와 암호가 포함된 것으로 알려졌다.

이번 유출과 관련 삼성, Clearview AI 및 MoviPass의 데이터 유출을 발견한 것으로 유명한 사이버 보안업체 SpiderSilk가 지난 토요일에 식별한 것으로 알려졌다.

7e31689675553d0

기업은 깃랩(GitLab)을 사용하여 프로젝트 운영에 필요한 비밀키, 토큰 및 암호 뿐만 아니라 소스코드를 공동으로 개발하고 관리하는 서버에 저장한다. 이와 관련 SpiderSilk의 최고 보안 책임자인 Mossab Hussein은 테크 크런치(TechCrunch)에 공개된 서버는 인터넷에서 액세스할 수 있으며 조직 외부의 모든 사람들이 사용자 계정을 만들어 방해받지 않고 로그인할 수 있도록 구성되어 있다고 언급했다.

SpiderSilk가 공개한 스크린샷에 따르면 GitLab 서버에 뉴욕주 IT 부서에 속한 서버 및 데이터베이스와 관련된 비밀키와 암호가 포함되어 있음을 알 수 있다.

뉴욕주 IT국 대변인 Scot Reif는 공개된 서버는 데이터가 없이 공급 업체가 구축한 테스트용 서버로, 이미 폐기되었다고 밝혔다. 그러나 구체적으로 서버에 어떤 공격이 가해졌고 암호가 변경되었는지에 대한 내용은 공개하지 않았다.

[출처 : CN / 6.25.]