奇异航空的Jenkins服务器没锁，源码及密码都曝光

安全企业Security Discovery最近在检查网络上公开的Jenkins实例时，发现有个实例属于美国奇异航空（GE Aviation），而且存放了源码、明文密码、配置细节，以及该公司内部架构的各种私钥，被知会的奇异航空当天就关闭了该实例，并坦承是因DNS配置错误所造成。

Jenkins为最受开发人员爱戴的持续集成工具，它可借由浏览器访问，且经常存放着许多机密信息，涵盖源码、知识产权、API权限或数据库凭证等。

Security Discovery的网络安全顾问Bob Diachenko表示，他利用Shodan来搜索网络上可公开访问的Jenkins实例，在7月7日的搜索结果是5,495个，其中有一个就属于奇异航空，且存放了程序的源码、明文密码、配置细节，以及奇异航空各种内部架构的私钥。

Diachenko马上通知奇异航空，对方的安全团队也在几小时后主动与他联系，且于同一天就关闭了这个公开的Jenkins实例，并向Security Discovery作出了解释。

奇异航空表示，此事是因DNS配置错误所造成，且在Jenkins服务器上所曝光的用户名及密码，只能用于自内部网络访问特定的应用程序，另也没有客户数据或重要的奇异数据受到影响。这意味着就算曾有黑客取得了这些凭证，他们也必须先入侵奇异的内部网络才能加以便用。

尽管没有证据表明曾有其他人访问了该服务器，但为了安全起见，奇异还是重设了曾于该服务器上曝光的所有凭证。