DXC Spills在公共Github上漏洞私钥

“未知人”以64千美元的价格旋转244名VM。哎呀


在Techie意外地上传外包公司的私人AWS关键到公共Github repo后,歹徒在DXC Technologies'标签上举行了64,000美元的账单。

这是红色的面孔,因为业务在经典的加密密钥上摸索在一个PDF备忘录到员工,其内容是由此看过的 企业技术新闻.

“各种安全变量(允许访问DXC采购的Amazon Web服务资源的加密密钥)都是硬编码到多个团队和项目架构师之间共享的一项工作中。”

然后,在9月27日,技术团队的成员在公共Github上创建了一个个人空间,并且将代码加载到此无担保的存储库中,该存储库允许访问和使用的个人尚未获取。

“在四天的时间内,私人密钥用于开始244 AWS虚拟机。招生的费用是64k美元(48,799英镑)。”

DXC自己的监控工具,云检查器,表示大多数VMS在不知不觉的键发布的24小时内站起来。在DXC意识到它是“无担保和删除”之前,代码在公共空间中不到24小时。所以那很好。

纠正的成本 - 除了AWS账单中,还与“不得不更改所有变量,用户名和密码”。旋转键并创建安全区域以存储这些细节意味着该项目丢失了两到四周的交货时间“。客户项目未指明。

补救措施涉及从回购中删除私钥;所有现有钥匙都被回收并保证;该代码已更改为使用拱顶“安全...需要”。

令人难以置信的是,DXC承认全面探讨在团队中透露了一些“未介绍合规标准,并且没有获得足够的安全培训”。

它补充说:“建立了安全事件曝光矩阵,讨论了安全漏洞可能性以及所制定的预防措施。”

由于资源重新分配对这些更正和改进而导致的时间成本尚未以货币术语计算。但在文化上有影响了。

“遗产CSC同事对我们作为一个团队的能力失去了信心,以维护安全信息,甚至完成所需的工作。这也导致了同事们呼吁之间的困难互动。”

DXC提醒人员,他们是“第一行之一”[SIC.或者至少他们应该是。下面列出了部队的共同感知建议的12分列表。

  • 了解并遵循DXC安全策略和程序
  • 物理保护您的PC,笔记本电脑,USB存储器设备,凭据等。
  • 在所有设备上加密敏感数据并将它们从盗窃中固定
  • 远离它时屏幕锁定您的设备
  • 使用强密码;永远不会分享或披露它们;为每个站点和应用程序创建唯一密码
  • 确保您已批准在PC上运行的反恶意软件软件
  • 接受PC-COE更新并应用安全补丁;仅下载批准的软件
  • 保护所有形式的敏感信息
  • 安全使用协作工具
  • 注意周围环境并保持警惕(埃尔阁 favourite)
  • 向安全事件响应中心报告事件
  • 如果您没有被授权这样做,请勿在社交媒体上发布

对于仍有疑问的任何员工,始终存在DXC网络安全宣传月份的安全和安全的视频。

DXC拒绝发表评论。 ®


咬住它的手©1998-2021