EE expone código crítico

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

EE, un gigante de la red móvil británica propiedad de BT Group ha sido acusado de dejar un repositorio de código crítico en una herramienta de código abierto protegida por un nombre de usuario y contraseña predeterminados.

Un investigador de seguridad independiente encontró dos millones de líneas de código, incluido el acceso a las API de los empleados y desarrolladores privados de la empresa y las claves secretas de AWS.
La obtención de esas claves podría permitir que un pirata informático analice el código de sus sistemas de pago, y encuentre agujeros importantes que podrían llevar al robo de información de pago, entre otras posibilidades.

El investigador afirma encontrar el código expuesto en un SonarQube (una plataforma de fuente abierta desarrollada por SonarSource) en un subdominio de EE utilizado por la empresa para analizar el código y detectar fallas de seguridad y vulnerabilidades en su sitio web.

Lo peor es que, según el investigador, informaron a EE varias veces durante semanas, pero no hubo respuesta de la empresa lo cual lo oblogó a exponer el tema de forma pública en Twitter.
“Después de esperar muchas semanas sin respuesta, he decidido informar al público, ya que @EE claramente no se preocupa por la seguridad.

EE ha expuesto más de dos millones de líneas de código fuente privado a sus sistemas y sistemas de empleados, debido al uso de una combinación de usuario / pase “admin: admin” “, escribió el investigador.

“El acceso a esto permite a los hackers maliciosos analizar el código fuente e identificar las vulnerabilidades dentro de él”.

En realidad, no es necesario, ya que puedes ver el código y tomar las las claves de acceso a AWS, las API y más “, dijo el investigador, asombrado por la falta de respuesta de los responsables de esta brecha de seguridad expuesta.

 

Por Josep Verdura – Analista de Seguridad de Vintegris