加拿大研究人员JasonCoulls发现,加拿大丰业银行(Scotiabank)的大量内部源代码和某些后台系统的私密登录密钥遭泄露。
TheRegister媒体报道后,丰业银行在24小时内已撤下被公开的含这些敏感信息的GitHub仓库。这些仓库中含有外汇系统的软件蓝图和访问密钥、移动应用程序代码和多种服务及数据库实例的登录凭证:这些都是犯罪分子和黑客梦寐以求的漏洞利用黄金库。
Coulls表示,其中一些敏感数据遭暴露的时间已长达数月。丰业银行、GitHub以及和该银行集成的付款和卡处理器机构均已收到警报信息。
疑似丰业银行技术人员不慎错误配置的GitHub仓库应该已被隐藏或删除。
丰业银行的一名发言人尚未就此事置评,不过已承认银行的安全团队正在调查此事。
在被泄露的数百份文档和代码文件中,包括访问银行某些后台系统和世界各地服务的凭证和密钥。这些文档和代码似乎是负责中美和南美地区丰业银行移动app的开发人员创建的。更加敏感的蓝图包括外汇SQL数据库系统的代码和登录详情。
Coulls指出,“他们的一个外汇汇率SQLServer数据库的凭证和公钥私钥被暴露数月之久。有人可能会修改外汇汇率数据,因此该银行的完整性因此而降低。”
这份庞大的代码信息中还包括集成该银行系统的来源,包括三星和GooglePay以及美国信用卡处理商Visa和Mastercard等。
机密信息多次遭泄漏
如果代码遭分析且被认为是可利用的,那么数量如此庞大的数字蓝图被暴露在互联网上可能导致丰业银行及其逾2500万名客户遭受攻击。别忘了,在2017年,Coulls曾发现了丰业银行的数字银行单元不仅只是使用了已在五个月之前就过期的安全证书,而且其代码似乎并未得到彻底的审计或调试。
Coulls表示,这次发生的安全事件并非丰业银行的机密信息遭暴露。Coulls打趣道,“以我的经验来看,这种愚蠢的安全事故对于丰业银行而言再正常不过,因为他们平均每三个星期就会泄露信息。”
他还指出,“丰业银行的IBMAS/400和DB2实例的凭证和连接信息遭公开。他们通常会泄露所有东西的源代码,从面向消费者的移动app到服务器端的RESTAPI等不一而足。他们还泄露消费者数据。如果有一天他们声称安全是第一要务,那么我倒要看看他们是如何处理优先级低的事情的。”