Миналия месец беше установено, че екземпляр от GitLab за Vandev Lab, която е собственост на Samsung, не е осигурил проектите си с парола. Като такива бяха поставени обществено досега десетки проекти за вътрешно кодиране за различни приложения, услуги и проекти на Samsung, което от своя страна осигури допълнителен достъп до проекти на Samsung, включително и популярната му екосистема Smart home SmartThings.
Без правилно обезопасяване на проектите с парола, тя дава възможност на всеки да види изходния код, да го изтегли или дори да направи промени.
Изследовател по сигурността от SpiderSilk на име Mossab Hussein откри пропуските в сигурността на 10 април и го съобщи на Samsung. В своите открития той има достъп до целия акаунт на AWS, включително над сто кодове за съхранение на S3, съдържащи дневници и аналитични данни.
Дневниците и анализите обхващаха продукти на Samsung като SmartThings и Bixby услуги, както и частни маркери на GitLab на няколко служители с обикновен текст. С използването на тези символи Хюсеин успя да получи достъп между 45 и 135 публични и частни проекти.
Когато се свърза с Samsung, на Хюсеин му казаха, че някои от файловете са за тестване, но той бързо посочи изходния код за текущата версия на приложението Android SmartThings. Приложението се актуализира след разговора им обаче.
Най-опасната част от този достъп е, че с маркерите GitLab Хюсейн можеше да направи промени в кода на Samsung. Той заяви:
Реалната заплаха се крие във възможността някой да придобие това ниво на достъп до изходния код на приложението и да го инжектира със злонамерен код, без компанията да знае.
Удостоверенията за AWS бяха отменени няколко дни след като Хюсеин се свърза с Samsung, но не е проверено дали секретните ключове и сертификати са получили подобно третиране. Както и досега, Samsung все още не е затворила доклада за уязвимостта почти месец, след като бе съобщена за първи път. Въпреки това, попитан за коментар, Зак Дюган, говорител на Samsung отговори:
Бързо оттеглихме всички ключове и сертификати за отчетената тестова платформа и въпреки че все още не намираме доказателства, че е възникнал външен достъп, в момента проучваме това допълнително.
Според Хюсеин е отнело до 30 април, за да бъдат отменени частните ключове на GitLab и той е цитиран, като казва: „Не съм виждал компания, която да се занимава с такава инфраструктура, използвайки странни практики като това“. Когато TechCrunch зададе конкретни въпроси относно инцидента или за доказателство, че е само за тестване на среди, Samsung отказа.
Това е само още един пример за това как правилните практики за сигурност стават все по-важни в наши дни, тъй като технологията намира своя път във всеки аспект от нашия живот.
Ръчни ръце на Google Nest Hub Max: Страхотно многофункционално устройство за вашия интелигентен дом
Може да спечелим комисионна за покупки, използвайки нашите връзки. Научете повече.
