Из-за ошибки авиаперевозчика в свободном доступе в Сети оказались коды сервисы «Аэрофлота». Речь идет об утечке образов контейнеров, в которые вошли исходные тексты, настройки и другая служебная информация.
В «Аэрофлоте» отмечают, что данных пользователей утечка не коснулась. Данная проблема произошла из-за ошибочной настройки доступа к серверу с реестров контейнеров Docker, развернутых в IT-инфраструктуру компании и не защищенной дополнительным файерволом. В результате этого с сайта авиаперевозчика можно было скачать системные файлы на языке Python, которые обеспечивают работу интернет-ресурса «Аэрофлота». Также любой пользователь без авторизации мог скачать код, определяющий логику обработки подарочных сертификатов и генерации бонусов.
Кроме того, был открыт доступ к образу Docker для всего официального сайта перевозчика, в котором хранятся исходные коды и файлы конфигураций для веб-приложения и, несмотря на то, что не было пользовательских данных, утечка может обернуться для компании большими проблемами.
Эксперты отмечают, что данные файлы и коды могли лежать в свободном доступе несколько лет, и кто-то до этого мог их скачать себе и использовать для кибератак на «Аэрофлот». Данный инцидент показывает, что даже крупные корпорации допускают ошибки в защите веб-систем и инструментов.
.jpg)
.jpg)