Хакер опубликовал логин и пароль к системе с исходными кодами Yota
Русскоязычный хакер под ником w0rm опубликовал у себя в Твиттере ссылку с логином и паролем ко внутренней системе хранения исходного кода компании Yota.
Проверка TJ показала, что доступ рабочий: по ссылке находится Jira, в которой содержится более 30 активных репозиториев с исходными кодами различных сервисов и программ, включая приложения Yota для iOS и Android. В некоторых конфигурационных файлах хранятся незашифрованные администраторские пароли (от чего, неизвестно).
В беседе с TJ w0rm заявил, что «администратор [Jira] просто забыл выключить регистрацию».
PR-директор Yota Лина Удовенко сообщила TJ, что в компании начали разбираться в ситуации и собираются отключить все сторонние доступы. До публикации статьи логин и пароль w0rm находились в открытом доступе как минимум два часа. Около 17:55 доступ к FishEye (трекеру изменений кода в Jira) был закрыт.
Судя по активности внутри Jira, w0rm изменил несколько исходных файлов — в одних удалил строки кода, в других добавил, а доступ внутрь системы получил как минимум в 10 вечера 4 февраля. Суть и причины своих действий он не пояснил.
Yota уделяет большое внимание безопасности и сохранности данных. Судя по опубликованной информации, аккаунт w0rm получил доступ к тестовой среде вспомогательных систем модемного продукта. Эта система никак не связана ни с биллингом, ни с персональными данными клиентов Yota, ни с какими-либо другими данными, влияющими на безопасность и работоспособность систем. Причём пользователь, несмотря на свои заявления, не вносил никаких изменений в код.
Внесенные изменения были сделаны реально действующим разработчиком, в то время как аккаунт w0rm просто поставил себе имя разработчика, чтобы сделать скрин и выдать желаемое за действительное. На данный момент внешний доступ к тестовой среде уже закрыт. Никакого влияния на бизнес и безопасность клиентов данный подлог информации не оказывает.
Это не первый раз, когда w0rm удаётся получить доступ ко внутренним системам российских компаний, однако ранее хакер не публиковал в открытом виде логины и пароли ко внутренним системам компаний. В декабре 2015 года он получил администраторские права на сайте «АвтоВАЗа» через стороннюю систему совместной работы, а в августе — к служебным данным «МегаФона».