Un référentiel de code utilisé par le département informatique du gouvernement de l’État de New York a été laissé exposé sur Internet, permettant à quiconque d’accéder aux projets à l’intérieur, dont certains contenaient des clés secrètes et des mots de passe associés aux systèmes du gouvernement de l’État.

Le serveur GitLab exposé a été découvert samedi par SpiderSilk, une société de cybersécurité basée à Dubaï, qui a découvert des fuites de données chez Samsung, Clearview AI et MoviePass.

Les organisations utilisent GitLab pour développer et stocker en collaboration leur code source, ainsi que les clés secrètes, les jetons et les mots de passe nécessaires au fonctionnement des projets, sur les serveurs qu’elles contrôlent. Mais le serveur exposé était accessible depuis Internet et configuré de manière à ce que toute personne extérieure à l’organisation puisse créer un compte utilisateur et se connecter sans entrave, a déclaré à TechCrunch le responsable de la sécurité de SpiderSilk, Mossab Hussein.

Lorsque TechCrunch a visité le serveur GitLab, la page de connexion a montré qu’il acceptait de nouveaux comptes d’utilisateurs. On ne sait pas exactement combien de temps le serveur GitLab a été accessible de cette manière, mais les enregistrements historiques de Shodan, un moteur de recherche pour les appareils et bases de données exposés, montrent que le GitLab a été détecté pour la première fois sur Internet le 18 mars.

SpiderSilk a partagé plusieurs captures d’écran montrant que le serveur GitLab contenait des clés secrètes et des mots de passe associés à des serveurs et des bases de données appartenant au Bureau des services informatiques de l’État de New York. Craignant que le serveur exposé ne fasse l’objet d’un accès malveillant ou d’une falsification, la startup a demandé de l’aide pour divulguer la faille de sécurité à l’État.

TechCrunch a alerté le bureau du gouverneur de New York de l’exposition peu de temps après la découverte du serveur. Plusieurs e-mails adressés au bureau du gouverneur avec des détails sur le serveur GitLab exposé ont été ouverts mais n’ont pas reçu de réponse. Le serveur s’est déconnecté lundi après-midi.

Scot Reif, porte-parole du bureau des services informatiques de l’État de New York, a déclaré que le serveur était « une boîte de test configurée par un fournisseur,…