Пользователи нашли код сайта и служебную информацию «Аэрофлота» в открытом доступе Статьи редакции

Утечка не затронула данные клиентов компании.

Код сайта и служебные данные авиакомпании «Аэрофлот» случайно оказались в свободном доступе. Об этом пишет TJ со ссылкой на британское издание The Register.

Он выяснил, что сервер компании работает на ПО Docker, и смог получить доступ к нему без авторизации. В открытых данных нет информации о пользователях, но можно найти служебные файлы, изображения и настройки тарифов. По словам источника, который нашёл уязвимость, данные могли находиться в открытом доступе уже несколько лет.

Несмотря на то, что данные пользователей не пострадали, злоумышленники могут использовать открытую информацию, чтобы найти уязвимости в сайте «Аэрофлота», пишет издание. Представители компании не ответили на запрос The Register.

0
20 комментариев
Написать комментарий...
Denis Shiryaev
Пользователи нашли код сайта в открытом доступе

Может кто-то из добровольцев уже редизайн сайта им сделает, и зальет им на домен обратно.
Этим же нельзя пользоваться в 2018 году.

Ответить
Развернуть ветку
Rudolf Cunningham

Функции свои выполняет, что еще надо?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Rudolf Cunningham

Я, как фанат старого дизайна reddit и еще больший фанат дизайна craiglist, на дизайн внимание не обращаю в принципе до тех пор, пока он не становится перегружен свистелками и не ставит дизайн превыше контента и функционала. Так что лишь бы работало нормально.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Андрей Любимов

" Представьте, что у кого-то есть чертежи вашего дома. Это не ключи от входа, но они смогут увидеть расположение незапертых окон и дверей. "

Скиньте им ссылку на github

Ответить
Развернуть ветку
ДИРЕКТОР

И они попадут на другую планету

Ответить
Развернуть ветку
Sergei Timofeyev

Если там лежат конфиги от докера и баз... те же ключи от вашей двери.

Ответить
Развернуть ветку
Mike Kosulin

Если сеть норм настроена, то пусть знают. Обновить только все равно нужно, особенно сикреты
А вот сикреты внешних сервисов некоторых часто нет возможности как-то ограничить. Вот тут начинаются проблемы.

Ответить
Развернуть ветку
Sergei Timofeyev

мы неоднократно встречались с тем, что в гите оставались конфиги, хотя они должны быть в .gitignore. Соответственно, при копировании/клонировании - всё уезжало в известном направлении. :) Сейчас этого уже давно нет, к счастью, но паранойя осталась.

Ответить
Развернуть ветку
Mike Kosulin

Ну конфиги для прода, да:)

Ответить
Развернуть ветку
Arseny Dugin
Ответить
Развернуть ветку
Diego Salvador

Вы про Аэрофлот или про качество контента данной заметки?

Ответить
Развернуть ветку
Профиль Удален
Ответить
Развернуть ветку
Вася Пражкин

"По словам источника, который нашёл уязвимость, данные могли находиться в открытом доступе уже несколько лет."
Заходи кто хошь, бери, что хошь.
Россия - щедрая душа, в этих ваших США компания уже бы в мыле была и готовилась к многомиллионным штрафам и судебным издержкам.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Вася Пражкин

Азат, факт утечки данных можно установить только после проведения полного аудита инфраструктуры, о его проведении ни Аэрофлот, ни контролирующие органы типа Роскомнадзора не сообщали.
Учитывая наличие исходников, вероятность утечки повышается многократно.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Pavel Zamyatin
Он выяснил, что сервер компании работает на ПО Docker

Шта, простите?

Ответить
Развернуть ветку
Pavel Zamyatin

Тем, кто как и я прифигел с формулировок, ребята нашли в свободном доступе "приватный" (если это применимо в данном контексте) докеровский репозиторий Аэрофлота без авторизации. Подробности есть на хабре.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
17 комментариев
Раскрывать всегда