В прошлом месяце было обнаружено, что экземпляр GitLab для лаборатории Vandev, принадлежащей Samsung, не защищал свои проекты паролем. Таким образом, десятки проектов внутреннего кодирования для различных приложений, сервисов и проектов Samsung стали общедоступными, что, в свою очередь, обеспечило дополнительный доступ к проектам Samsung, включая его популярную экосистему умного дома SmartThings.
Без надлежащей защиты проектов паролем, он давал кому-либо возможность просматривать исходный код, загружать его или даже вносить изменения.
Исследователь безопасности из SpiderSilk по имени Моссаб Хуссейн 10 апреля обнаружил ошибку в безопасности и сообщил об этом Samsung. В своих выводах он имел доступ ко всей учетной записи AWS, включая более ста хранилищ S3, содержащих журналы и аналитические данные.
Журналы и аналитика охватывали такие продукты Samsung, как SmartThings и Bixby, а также личные токены GitLab нескольких сотрудников в виде простого текста. С помощью этих токенов Хуссейн смог получить доступ к 45-135 государственным и частным проектам.
Когда он связался с Samsung, Хусейну сказали, что некоторые файлы предназначены для тестирования, но он быстро указал на исходный код текущей версии приложения Android SmartThings. Однако приложение было обновлено с момента их разговора.
Наиболее опасной частью этого доступа является то, что с помощью токенов GitLab Хуссейн мог внести изменения в код Samsung. Он постановил:
Настоящая угроза заключается в том, что кто-то может получить этот уровень доступа к исходному коду приложения и внедрить в него вредоносный код без ведома компании.
Учетные данные AWS были отозваны через несколько дней после того, как Хуссейн связался с Samsung, но не было проверено, получили ли аналогичные действия секретные ключи и сертификаты. Как и сейчас, Samsung до сих пор не закрыл отчет об уязвимости почти через месяц после того, как он был впервые опубликован. Однако на вопрос о комментариях представитель компании Samsung Зак Дуган ответил:
Мы быстро отозвали все ключи и сертификаты для платформы тестирования, о которой сообщалось, и, хотя нам еще предстоит найти доказательства того, что произошел какой-либо внешний доступ, в настоящее время мы продолжаем расследовать это.
По словам Хуссейна, до 30 апреля требовалось отозвать закрытые ключи GitLab, и его цитируют, говоря: «Я не видел такой большой компании, которая бы справлялась со своей инфраструктурой, используя такие странные методы». Когда компания TechCrunch задала конкретные вопросы об инциденте или в качестве доказательства, что это было только для сред тестирования, Samsung отказалась.
Это просто еще один пример того, как правильные методы обеспечения безопасности становятся все более и более важными в наши дни, когда технологии проникают в каждый аспект нашей жизни.
Практическое пособие по Google Nest Hub Max: отличный универсальный инструмент для вашего умного дома
Мы можем заработать комиссию за покупки, используя наши ссылки. Учить больше.
