Митрегейт или основы инфобезопасности
Вокруг MITRE, дочерней организацией CVE project, развернулся небольшой скандал. Обнаружилось, что компания в своих CVE-бюллетенях периодически публиковала ссылки на уязвимые устройства. В то время как обычно в них идут проверки концепций и описания уязвимостей, такой просчёт создавал серьёзные риски для владельцев перечисленных устройств.
Как выяснилось, скорее всего, это было просто результатом лени и неосмотрительности со стороны оформителей бюллетеней. К примеру, в случае с неназванной критической уязвимостью этой весной в опубликованных материалах оказался просто копипаст информации вместе со ссылками с чужого гитхаба.
Что забавно, после того как по следам этих открытий с компанией связались журналисте, в MITRE заявили, что не видят в этом проблемы, и подтвердили, что неоднократно публиковали списки уязвимых устройств. Тем не менее, через несколько часов такие ссылки оперативно удалили и из гитхаб-репозитория, и из базы компании. Видимо, запоздало осознали проблематичность такого дырявого подхода к инфобезопасности.