奇異航空的Jenkins伺服器沒鎖，原始碼及密碼都曝光

資安業者Security Discovery最近在檢查網路上公開的Jenkins實例時，發現有個實例屬於美國奇異航空（GE Aviation），而且存放了原始碼、明文密碼、配置細節，以及該公司內部架構的各種私鑰，被知會的奇異航空當天就關閉了該實例，並坦承是因DNS配置錯誤所造成。

Jenkins為最受開發人員愛戴的持續整合工具，它可藉由瀏覽器存取，且經常存放著許多機密資訊，涵蓋原始碼、智慧財產、API權杖或資料庫憑證等。

Security Discovery的網路安全顧問Bob Diachenko表示，他利用Shodan來搜尋網路上可公開存取的Jenkins實例，在7月7日的搜尋結果是5,495個，當中有一個就屬於奇異航空，且存放了程式的原始碼、明文密碼、配置細節，以及奇異航空各種內部架構的私鑰。

Diachenko馬上通知奇異航空，對方的安全團隊也在幾小時後主動與他聯繫，且於同一天就關閉了這個公開的Jenkins實例，並向Security Discovery作出了解釋。

奇異航空表示，此事是因DNS配置錯誤所造成，且在Jenkins伺服器上所曝光的使用者名稱及密碼，只能用於自內部網路存取特定的應用程式，另也沒有客戶資料或重要的奇異資料受到影響。這意味著就算曾有駭客取得了這些憑證，他們也必須先入侵奇異的內部網路才能加以利用。

儘管沒有證據表明曾有其他人存取了該伺服器，但為了安全起見，奇異還是重設了曾於該伺服器上曝光的所有憑證。