塔塔Tata的开发员犯低级错误,将银行代码泄露到GitHub公共代码库

社区广播:运维派(Yunweipai.com)是国内最早成立的IT运维社区,欢迎大家投稿,让运维人不再孤寂的成长!

一名IT专家声称,印度外包公司塔塔(Tata)的工作人员居然将一大批金融机构的源代码和内部文件上传到了GitHub的公共代码库上。

贾森·库尔斯(Jason Coulls)是食品安全测试公司Tellspec的首席技术官,以前是一名银行软件开发员。他说,印度加尔各答的一名塔塔开发员不小心泄露了这一大堆敏感文件,后来自己无意中发现了这些文件(https://coulls.blogspot.com/2017/06/how-do-you-fix-mobile-banking-in-canada.html)。他在这批文件中看到了开发说明、原始源代码、关于网络银行代码开发计划的内部报告以及与外包合作伙伴之间的电话记录。

这些文件涉及塔塔为六家知名加拿大银行、两家著名的美国金融机构、一家跨国日本银行以及一家年收入高达数十亿美元的金融软件公司从事的编程工作。无论对于可能利用设计中任何缺陷、进而窃取数百万美元的犯罪分子而言,还是对于正在开发类似产品功能的竞争对手而言,这些数据都异常宝贵。

库尔斯上周告诉英国IT网站The Register:“好消息是,这些数据没有一个是银行客户的数据,主要是辅助数据。”

“不过里面还是有好多有用的资料――不仅对于黑客而言如此,对于这家公司的竞争对手而言也是如此。有人在常识方面犯了个天大的错误。”

这么多信息足以导致严重的破坏行为……该屏幕截图显示了部分泄露的数据;出于安全考虑,作了一番编辑。

接到泄密警告后,你以为那些受影响的公司会迅速作出反应,然而,实际情况并非如此。现住在加拿大多伦多的英国人库尔斯表示,他将情况告知那些加拿大银行后,居然吃了闭门羹,或者无人理睬。

我们获悉,相比之下,美国金融机构非常迅速地接受了忠告,并立即作出了回应。那些泄露的文件很快从GitHub上删除了。塔塔没有回应The Register要求其评论的请求。目前,出于安全考虑,受影响客户的名称并未透露。

加拿大银行怎么啦?

库尔斯告诉The Register,他遇到加拿大银行毫不妥协的情况不足为奇――多年来,他一直对加拿大银行松懈的安全措施颇有微词,也没有看到多大的改进。

他解释道:“加拿大与美国存在巨大的文化差异。加拿大人不想为安全信息掏钱,我又不是无偿工作。而相比之下,美国公司会派人员搭飞机前来多伦多,当天晚上请我喝酒,与我讨论这个问题。“

库尔斯写过一本内容关于加拿大银行软件的电子书(https://www.amazon.com/Not-monkeys-circus-Jason-Coulls-ebook/dp/B06XXQYK6R),题为《不是我的猴子,不是我的马戏团!》。他说,他的研究表明,25家加拿大Schedule I银行中有9家很容易受到网络钓鱼攻击。

他说,有一家银行的应用程序“泄露了大量的数据――每次事务操作会将40MB的数据发送给浏览器。”他表示,也很少有移动银行应用程序努力为通信内容确保安全。

加拿大商业金融公司银行:丰业银行(Scotiabank)就是库尔斯重点炮轰的一个对象。他告诉我们,这家银行的应用程序并不总是使用HTTPS用于网络连接,而是使用不大安全的HTTP。

他说:“现在至少有一百万人在使用不安全的移动银行应用程序,早晚会出大娄子。这方面的情形并不乐观,有人迟早会追悔莫及。”

原文来自微信公众号:云头条(yuntoutiao)

网友评论comments

发表评论

电子邮件地址不会被公开。 必填项已用*标注

暂无评论

Copyright © 2012-2017 YUNWEIPAI.COM - 运维派 - 粤ICP备14090526号-3
扫二维码
扫二维码
返回顶部