加拿大金融巨头丰业银行的大量内部源代码和凭证遭泄露

加拿大研究人员 Jason Coulls 发现，加拿大丰业银行 (Scotiabank) 的大量内部源代码和某些后台系统的私密登录密钥遭泄露。

The Register 媒体报道后，丰业银行在24小时内已撤下被公开的含这些敏感信息的 GitHub 仓库。这些仓库中含有外汇系统的软件蓝图和访问密钥、移动应用程序代码和多种服务及数据库实例的登录凭证：这些都是犯罪分子和黑客梦寐以求的漏洞利用黄金库。

Coulls 表示，其中一些敏感数据遭暴露的时间已长达数月。在本文发表前，丰业银行、GitHub以及和该银行集成的付款和卡处理器机构均已收到警报信息。

在你阅读本文之时，疑似丰业银行技术人员不慎错误配置的 GitHub 仓库应该已被隐藏或删除。如下是截取到的部分被泄源代码：

丰业银行的一名发言人尚未就此事置评，不过已承认银行的安全团队正在调查此事。

在被泄露的数百份文档和代码文件中，包括访问银行某些后台系统和世界各地服务的凭证和密钥。这些文档和代码似乎是负责中美和南美地区丰业银行移动 app 的开发人员创建的。更加敏感的蓝图包括外汇 SQL 数据库系统的代码和登录详情。

Coulls 指出，“他们的一个外汇汇率 SQL Server 数据库的凭证和公钥私钥被暴露数月之久。有人可能会修改外汇汇率数据，因此该银行的完整性因此而降低。”

这份庞大的代码信息中还包括集成该银行系统的来源，包括三星和 Google Pay 以及美国信用卡处理商 Visa 和 Mastercard 等。

如果代码遭分析且被认为是可利用的，那么数量如此庞大的数字蓝图被暴露在互联网上可能导致丰业银行及其逾2500万名客户遭受攻击。别忘了，在2017年，Coulls 曾发现了丰业银行的数字银行单元不仅只是使用了已在五个月之前就过期的安全证书，而且其代码似乎并未得到彻底的审计或调试。

Coulls 表示，这次发生的安全事件并非丰业银行的机密信息遭暴露。Coulls 打趣道，“以我的经验来看，这种愚蠢的安全事故对于丰业银行而言再正常不过，因为他们平均每三个星期就会泄露信息。”

他还指出，“丰业银行的 IBM AS/400 和 DB2 实例的凭证和连接信息遭公开。他们通常会泄露所有东西的源代码，从面向消费者的移动app 到服务器端的 REST API 等不一而足。他们还泄露消费者数据。如果有一天他们声称安全是第一要务，那么我倒要看看他们是如何处理优先级低的事情的。”

原文链接

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”