یک توسعهدهنده آزاد در حین بررسی پشتیبانگیری از کد منبع یک وبسایت، مجموعهای از اعتبارنامهها (کلیدهای حساب ذخیرهسازی Azure) را کشف کرد که دسترسی مدیریتی کامل به حسابهای ذخیرهسازی Azure یک ارائهدهنده خدمات میزبانی دولتی را فراهم میکند. این اعتبارنامهها دسترسی به دادههای مشتری و سایر دادهها را امکانپذیر میسازد. توسعهدهنده در حال حاضر در حال بررسی نحوه اطلاعرسانی این موضوع به ارائهدهنده خدمات میزبانی است.
مشتری، که یک آژانس دولتی است، یک توافق "دست دادن و دست دادن" با مشتری داشته است و خدمات میزبانی، نگهداری و بهروزرسانی را ارائه میدهد. مشتری درخواست پشتیبانگیری کامل از وبسایت، کد منبع و کتابخانه تصاویر را داده است. توسعهدهنده برای بررسی کامل بودن پشتیبانگیری، مأمور به انجام ممیزی و تحلیل کد منبع شده است.
ارائهدهنده خدمات میزبانی از ارائه دسترسی فقط خواندنی به حساب ذخیرهسازی Azure که کتابخانه تصاویر را در خود جای داده است، خودداری کرده است. با این حال، توسعهدهنده با بررسی کد منبع، اعتبارنامههایی را کشف کرد که دسترسی مدیریتی کامل به حسابهای ذخیرهسازی Azure ارائهدهنده را فراهم میکرد. توسعهدهنده از این اعتبارنامهها برای فهرستبرداری فایلها در حساب مشتری استفاده کرده است، اما هیچ دادهای را دانلود نکرده یا خارج از پوشه داده مشتری مرور نکرده است.
توسعهدهنده اکنون در حال بررسی بهترین روش برای اطلاعرسانی این موضوع به ارائهدهنده خدمات میزبانی است.
مشاهده مطلب اصلی