今天小编看到好友的公众号红数位发布了一篇文章:《所有网络安全人士务必联合起来反击!!!》反映有黑客在网上泄露我国企业和政府数据。小编上网查询,发现确实有用户名为AgainstTheWest的黑客在一个境外论坛上发布了一些泄露数据(数据真伪待求证),下图是其论坛页面截图:
该黑客还在论坛中说他们觉得有趣的是,中国的新闻媒体拒绝报道他们的袭击。并威胁说:“如果中国政府或外部媒体认为我们没有认真对待中国。一旦我们泄露了以下机构的信息你就得重新考虑了。”
黑客AgainstTheWest还威胁将在几天内泄露我国中央国家机关和省部级国家机关的数据来引起大家对其的重视。
SonarQube是一款开源的代码质量管理系统,提供软件代码审计功能,使用该软件进行软件开发的企业较多。该系统在默认配置下, 未对其API接口进行任何访问控制,导致可不经认证通过互联网下载该系统审计过的程序源代码。
另外,该系统默认管理员凭据是弱口令,如未更改,极易被利用来直接登录获得该系统审计过的源代码。
三是SonarQube被设计为位于用户私有环境中的防火墙后面。不当的配置可能将其暴露在防火墙之外,也会造成未经身份验证的访问,从而造成数据泄露。
通过采招网等招投标网站查询,发现招标采购内容中包含SonarQube的项目很多,比如:广西卫生监控数据中台建设招标、贵阳银行信息科技管理平台一起建设项目、银联商务代码质量管理工具、河北医疗保障局开发运维一体化平台、北京航空航天大学计算机学院项目、广东电网有限责任公司项目、工信部电子五所一体化研发仿真环境采购项目、中信银行内控合规一体化管理平台建设项目、北京海关总署新一代海关通关管理系统、上海银行质量服务平台和分布式支撑服务项目、中国科学院信息工程研究所源代码安全扫描软件项目、华泰证券软件产品采购项目、上海科技信息管理平台项目、中国太平洋保险(集团)制品库软件、湖南省税务局应用系统运维巡检与审查系统等都涉及SonarQube采购和应用。
网上确实发现一些使用了SonarQube软件的公司和机构的数据发生泄露的事件。因此,此事需要引起所有在软件开发的使用了SonarQube软件的开发企业和软件系统使用用户高度重视,迅速排查是否存在错误配置和弱口令等情况。尤其是黑客提到的相关机构需要排查存储在公有云上的数据是否存在泄露风险!!!
长按识别下面的二维码可加入星球下载
里面已有近千篇资料可供下载
越早加入越便宜哦