Amber Group a corrigé un deuxième problème de sécurité qui exposait les clés privées et les mots de passe de l’application et du site Web JamCOVID du gouvernement.

Un chercheur en sécurité a déclaré dimanche à TechCrunch que le groupe Amber avait laissé par erreur un fichier sur le site Web JamCOVID, qui contenait des mots de passe qui auraient donné accès aux systèmes backend, au stockage et aux bases de données exécutant le site et l’application JamCOVID. Le chercheur a demandé à ne pas être nommé par crainte de répercussions juridiques de la part du gouvernement jamaïcain.

Ce fichier, appelé fichier de variables d’environnement (.env), est souvent utilisé pour stocker des clés privées et des mots de passe pour des services tiers nécessaires à l’exécution des applications cloud. Mais ces fichiers sont parfois exposés par inadvertance ou téléchargés par erreur, mais peuvent être utilisés de manière abusive pour accéder aux données ou aux services sur lesquels l’application cloud s’appuie si elle est trouvée par un acteur malveillant.

Le fichier de variables d’environnement exposé a été trouvé dans un répertoire ouvert sur le site Web JamCOVID. Bien que le domaine JamCOVID semble se trouver sur le site Web du ministère de la Santé, Amber Group contrôle et gère le tableau de bord, l’application et le site Web JamCOVID.

Le fichier exposé contenait des informations d’identification secrètes pour les bases de données Amazon Web Services et les serveurs de stockage pour JamCOVID. Le fichier contenait également un nom d’utilisateur et un mot de passe pour la passerelle SMS utilisée par JamCOVID pour envoyer des messages texte et des informations d’identification pour son serveur d’envoi d’e-mails. (TechCrunch n’a testé ni utilisé aucun des mots de passe ou des clés, car cela serait illégal.)

Une partie des informations d’identification exposées trouvées sur le site Web JamCOVID, contrôlées et maintenues par Amber Group. (Image: TechCrunch)

TechCrunch a contacté le directeur général d’Amber Group, Dushyant Savadia, pour alerter la société de la défaillance de la sécurité, qui a mis le fichier exposé hors ligne peu de temps après. Nous avons également demandé à Savadia, qui n’a pas fait de commentaire, de révoquer et de remplacer les clés.

Matthew Samuda, un ministre du ministère jamaïcain de la Sécurité nationale, n’a pas répondu à une demande de commentaires ou à notre …

Voir la source de cette publication