Според изследовател по сигурността Мосаб Хюсеин, Samsung изтичаше чувствителни данни, като идентификационни данни, изходни кодове и секретни ключове, за различни важни проекти.
Несъзнателно компанията беше дала „публичен“ достъп до критични файлове във вашата лаборатория за разработка на GitLab, които не бяха защитени с парола.
Изложените данни съдържаха идентификационни данни за акаунта за уеб услуги на Amazon, който беше използван за разработването на услуги на Samsung. Те допълнително разкриват 100 отделения за съхранение S3, прикрепени към същия акаунт на AWS, съдържащи данни от журнали и анализи.
Токените за достъп на служителите GitLab също са част от откритите поверителни данни. Изследователят по сигурността получи достъп до различни публични и частни проекти с маркерите за достъп, като увеличи броя на експонираните проекти от 43 на 135. Хюсеин.
Повечето публично достъпни файлове се съдържат данни, свързани със услугите на Samsung SmartThings и Bixby. Можеше да бъде „катастрофално“, ако някой лош актьор манипулира кода.
Samsung е домакин на множество проекти в лабораторията Vandev, фирмено хранилище на GitLab за целите на развитието. Същото хранилище съдържа проекти като платформата SmartThings на Samsung и услугите Bixby.
Въпреки това, Сега Samsung отмени достъпа до всички ключове и идентификационни данни на тестовата платформа. Компанията разследва, за да намери доказателства за външен достъп след това събитие.
След като всичко това беше открито, фирмата ще прилага по-строги мерки за сигурност във всички свои лаборатории, ясно, както и в други сектори, отворени за различна аудитория, с намерението нещо подобно да не се повтори в бъдеще.
(Източник)
