Brakuje wszystkiego. Samsung viked the exit code of Maybutnichi developments

11 Jun 2019, 11:04 Możesz również przeczytać ten materiał w języku rosyjskim

The Samsung Development Lab nieumyślnie uzyskał dostęp do kodu wyjścia, danych rejestru i tajnych kluczy dla kilku wewnętrznych projektów, w tym SmartThings

.

Elektroniczny gigant pozostawił dziesiątki projektów wewnętrznego kodu na GitLab z oznaczeniem "publicznie dostępny", pisze TechCrunch

.

Usługa, która była używana przez współpracowników do wymiany i dodawania kodu do różnych dodatków, serwerów i projektów Samsunga, przesyłała dane, ponieważ projekty nie były odpowiednio zabezpieczone hasłem, co pozwalało każdemu zajrzeć do środka każdego projektu, uzyskać dostęp i pobrać kod wyjściowy.

Mossab Hussain, badacz bezpieczeństwa z dubajskiej firmy SpiderSilk, który znalazł otwarte pliki, powiedział, że jeden z projektów zawierał zarejestrowane dane, co pozwoliło na dostęp do całego wykorzystanego zapisu księgowego AWS, w tym ponad 100 magazynów S3, które zawierały dane dziennikarskie i analityczne.

Według jego słów, wiele z folderów zawierało dane dziennikarskie i analityczne dla Samsung SmartThings i Bixby, a także otwarte tokeny osobiste GitLab kilku pracowników, Firma korzysta z otwartego tekstu w celu uzyskania dostępu do 42 publicznie dostępnych projektów, co umożliwia jej dostęp do kolejnych 135 projektów.

Przedstawiciele Samsunga twierdzą, że niektóre z plików są przeznaczone do testowania, ale Husein zakwestionował to twierdzenie, twierdząc, że kod wyjściowy, znaleziony w repozytorium GitLab, zawiera ten sam kod, co dodatek do Androida wydany w Google Play 10 czerwca.

Dodatek, który od tego czasu został zaktualizowany, ma obecnie ponad 100 milionów instalacji.

"Miałem prywatny token użytkownika, który miał pełny dostęp do wszystkich 135 projektów na tym GitLabie" - powiedział Mossab Hussein, dodając, że mogło mu to pozwolić na dokonywanie zmian w kodzie przy użyciu własnego konta pracowniczego.

"Prawdziwym zagrożeniem jest to, że ktoś może uzyskać taki poziom dostępu do kodu wyjściowego oprogramowania i wstrzyknąć do niego złośliwy kod bez wiedzy firmy" - powiedział.

Samsung potwierdził zrzeczenie się odpowiedzialności i podjął już kroki w celu wyeliminowania luki. Jednak ponad miesiąc po tym, jak Mossab Hussein po raz pierwszy ujawnił problem, dochodzenie nie zostało jeszcze zakończone.

Zapisz się na codzienne aktualizacje e-mail
sekcji Techno Gazeta o tym, jak technologia zmienia świat Zapisz się codziennie o 17:00 Redaktor: Anton Khodorenko