纽约州IT办公室使用的内部代码追溯在线公开

暴露的Gitlab服务器是在周六的基于迪拜的Spidersilk中发现的，一个网络安全公司归功于在三星，ClearView AI和MoviePass的Samsung发现数据溢出。

组织使用Gitlab协作开发和存储其源代码 - 以及项目工作所需的秘密密钥，令牌和密码 - 在他们控制的服务器上。但是，公开的服务器可以从互联网访问，并配置了，所以从组织外部的任何人都可以创建用户帐户并登录普通的Spidersilk的首席安全官员Mossab Hussin告诉TechCrunch。

当TechCrunch访问Gitlab服务器时，登录页面显示它已接受新用户帐户。它还没有知道Gitlab服务器以这种方式可以访问的时间，但是Shodan的历史记录，用于公开设备和数据库的搜索引擎，显示Gitlab于3月18日在互联网上检测到。

Spidersilk共享了几个屏幕截图，显示Gitlab服务器包含与属于纽约州信息技术服务办公室的服务器和数据库相关的秘密密钥和密码。担心曝光的服务器可以恶意地访问或篡改，启动要求帮助披露到状态的安全失误。

在找到服务器后，TechCrunch在短时间内提醒纽约州长办公室到曝光。向州长办公室提供众多曝光Gitlab服务器详细信息的电子邮件，但未回复。服务器周一下午脱机。

苏格兰乐队，纽约州信息技术服务办公室的发言人表示，服务器是“由供应商设置的测试盒，没有任何数据，它已经被其退役。” （Reif宣布他的回答“在背景上”并​​归因于国家官员，这将需要双方提前同意这些条款，但我们正在打印回复，因为我们没有机会拒绝这些条款。）

当被问到时，reif不会说供应商是谁或者如果服务器上的密码已更改。服务器上的几个项目标记为“生产”或“生产”的常见速写，这是积极使用的服务器的术语。 Reif也不会说该事件是否报告给州的司法部长办公室。达到后，司法部长的发言人不会通过新闻时间发表评论。

TechCrunch了解供应商是Indotronix-Avani，这是一家以纽约的一家公司在印度设有办事处，由风险投资公司Nigama Ventures拥有。 几个屏幕截图显示了Indotronix-Avani的项目经理修改了一些Gitlab项目。 供应商的网站吹捧纽约州的网站，以及其他政府客户，包括美国国务院和美国国防部。