Тысячи инсталляций etcd сливают секретные ключи в Сеть

Тысячи инсталляций etcd сливают секретные ключи в Сеть

Тысячи инсталляций etcd сливают секретные ключи в Сеть

Тысячи серверов, использующих распределенное Key-Value хранилище Etcd, публично раскрывают данные пользователей. Как отметил исследователь Джованни Кольясо, с помощью поисковика Shodan ему удалось найти в общей сложности 2 284 сервера, которые раскрывали пароли и ключи.

О своей находке Кольясо написал в блоге, уточнив, что минимум 750 Мбайт данных доступны в интернете.

Etcd запускается на каждой машине кластера и обеспечивает общий доступ практически ко всем данным в масштабе всего кластера. До версии 2.1 etcd было полностью открытой системой, и любой, у кого есть доступ к API, мог менять ключи.

Джованни Кольясо, дабы проверить свои выводы, написал скрипт, который вызывал API etcd и запрашивал загрузку всех общедоступных ключей.

GET http://< ip address >:2379/v2/keys/?recursive=true

Скрипт продемонстрировал, что у тысяч серверов имеются проблемы. В частности, дальнейшее исследование показало, что в утекших данных содержатся «пароли для баз данных, секретные ключи AWS, ключи API многих серверов».

Таким образом, были загружены 8781 паролей, 650 секретных AWS-ключей, 23 секретных ключа для других сервисов и 8 закрытых ключей.

«Я не проводил тестирование этих данных, так что не могу сказать, работают ли они», — заявил исследователь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сенатор Шейкин уточнил порядок новых норм в отношении VPN

Как подчеркнул сенатор Артём Шейкин, новые нормы не направлены против конечных пользователей, а касаются в первую очередь провайдеров, платформ и технических посредников. По его словам, цель поправок — не массовое отслеживание граждан, а усиление контроля над инфраструктурой, обеспечивающей доступ к интернет-ресурсам.

Речь идёт о поправках ко второму чтению законопроекта №755710-8, которое намечено на ближайшие дни.

«Ужесточается ответственность владельцев VPN и других средств обхода блокировок в случае, если они не подключаются к федеральной системе фильтрации и не блокируют запрещённые ресурсы.

Предусмотрены "оборотные" штрафы для организаторов распространения информации, которые не внедряют технические средства для выполнения требований СОРМ (системы оперативно-разыскных мероприятий). В том числе это касается возможности предоставлять информацию по запросу уполномоченных органов», — заявил сенатор.

В комментарии РИА Новости Артём Шейкин заверил, что угрозы штрафов не будет для тех, кто использует средства подмены адресов для доступа к заблокированному контенту, но при этом не нарушает законодательство — в частности, не распространяет запрещённые материалы. Ответственность в таком случае понесёт оператор или владелец сервиса.

«Обычный просмотр страниц, даже материалов иноагентов или "сомнительных лиц", если они не внесены в соответствующий список, не является нарушением», — подчеркнул сенатор.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru