Offentlig deling av programvareprosjekter på GitHub og lignende tjenester kan være gull verdt for både de som deler og de eksterne om får tilgang til kildekode og annet. Men det er viktig å skille mellom det som åpenbart kan deles og det som uvedkommende absolutt ikke må få tilgang til.
Tilgang til valutasystem?
Denne uken har den tredje største banken i Canada, Scotiabank, stengt selskapets GitHub-repositorier. Dette skal ha skjedd etter at teknologinettstedet The Register tok kontakt med banken for å varsle den om at det var blitt funnet programvareskisser og tilgangsnøkler til et valutasystem, koden til en mobilapplikasjon og innloggingsinformasjon og integrasjonskode for blant annet ulike betalingstjenester og databaseinstanser.
_logo.svg.png){kind=logo}
The Register omtaler dette som en potensiell gullgruve med sårbarheter som kriminelle kan utnytte.
Det skal ha vært Jason Coulls, en IT-spesialist i Toronto, som tipset The Register om disse funnene. Han skal ha fortalt The Register at deler av dataene har vært åpent tilgjengelige i flere måneder.
The Register går ut fra at repositorier har vært feilkonfigurert av Scotiabanks teknikere.
«Muppet»-klassen
Coulls er ikke like nådig, da dette ikke er første gang han har oppdaget at banken lekker interne hemmeligheter på nettet.
– Det er min erfaring at denne sikkerheten i «muppet»-klassen er helt normal for Scotiabank, siden de vanligvis lekker informasjon hver tredje uke i gjennomsnitt, sier han til The Register.
– De lekker også kundedata. Derfor når de har hevdet at sikkerhet er en topprioritet for dem, gruer jeg meg til å se hvordan de håndterer ting med lav prioritet, sier Coulls.
I feel like I’ve educated a whole new population in the ways the British use the word “muppet”. When they realise you can prefix it with adjectives (“Complete Muppet”, “Weapons Grade Muppet”, etc) this could finally travel across the pond. https://t.co/FZRDiJ4CKJ
— (ノ°Д°)ノ︵ sןןnoɔ (@coulls) September 19, 2019
Scotiabank er etablert i en rekke land i tillegg til i Canada.
