Крупная IT-компания по ошибке опубликовала свой закрытый ключ AWS и потеряла 64 тысячи
16.11.2017
Американская IT-компания DXC Technologies потеряла $64 тыс. после того, как один из сотрудников по ошибке загрузил ее закрытый ключ AWS в открытый репозиторий на GitHub. Компания сообщила персоналу об инциденте в PDF-уведомлении, попавшем в руки журналистов The Register.
"Различные переменные (ключи шифрования, предоставляющие доступ к покупаемым DXC ресурсам Amazon Web Services) были вшиты в образец проекта, общий доступ к которому был у нескольких команд и разработчика архитектуры проекта", - говорится в уведомлении.
27 сентября член технической группы создал на GitHub открытый репозиторий и загрузил в него вышеупомянутый проект. За четыре дня неизвестные использовали закрытый ключ для создания 244 виртуальных машин AWS, причинив DXC Technologies ущерб на сумму в $64 тыс.
С помощью собственного инструмента Cloud Checker компания установила, что большинство виртуальных машин были настроены в течение 24 часов с момента публикации ключа. Любой желающий мог получить доступ к опубликованному на GitHub коду в течение 24 часов, после чего компания обнаружила инцидент, и код был удален.
Помимо потери вышеупомянутых $64 тыс., компании также пришлось поменять все переменные, логины, пароли и ключи, в результате чего срок сдачи проекта заказчику отодвинулся на 2-4 недели вперед.
