据研究人员称，发现旧版本的ApacheAirflow暴露了流行服务的凭据，包括云托管提供商、社交媒体平台和支付处理服务。ApacheAirflow是GitHub上星级最高的开源工作流应用程序，用于自动化业务和IT任务。

Intezer的网络安全研究人员发现，旧版本中的错误配置不仅会泄露数据，而且可能会在暴露的生产环境中启用恶意代码执行。

我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用，以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间，如果您能与我们分享您的经验，我们将不胜感激。

“这次泄漏非常严重。与影响个人用户帐户的更传统的凭据泄漏不同，这些凭据泄漏会影响整个应用程序框架实例，”事件响应公司BreachQuestInc.的联合创始人兼首席技术官JakeWilliams告诉SiliconANGLE。

研究人员在解释曝光时指出，Airflow使用标准Python来创建和安排工作流程。自2015年以来，该项目已经发布了两个主要版本，但随后又有几个临时版本提高了平台的安全性。

为了说明旧版本的谬误，研究人员指出v1.10之前的Airflow版本允许用户在没有任何身份验证的情况下对数据库运行即席查询，这对于暴露于互联网的生产数据库来说是一种危险的能力.

通过关注较旧的、不安全的版本，研究人员发现配置错误的实例也会暴露凭据，使威胁行为者可以访问AWS、GoogleCloud、WhatsApp、Slack、MySQL、Binance、PayPal、Stripe和其他平台上的合法帐户和数据库。多很多。

在一个奇怪的发现中，研究人员透露，除了错误配置之外，许多凭据还通过不安全的编码实践暴露出来，例如生产代码中的硬编码密码。

Intezer已通知所有受影响的实体，敦促他们修复错误配置的Airflow实例，即使它要求ApacheAirflow用户确保他们立即将旧实例更新到最新实例。