Podle výzkumníka v oblasti bezpečnosti Mossaba Husajna Samsung prosakoval citlivá data, jako jsou pověření, zdrojové kódy a tajné klíče, pro různé důležité projekty.
Společnost nevědomky dala „veřejný“ přístup k důležitým souborům ve vaší vývojové laboratoři na GitLabu, které nebyly chráněny heslem.
Exponovaná data obsahovala pověření pro účet webových služeb Amazon, který byl použit pro vývoj služeb Samsung. Tyto dodatečně odhalují 100 úložných prostorů S3 připojených ke stejnému účtu AWS, které obsahují protokolová a analytická data.
Součástí citlivých dat, která byla objevena, jsou také tokeny přístupu zaměstnanců GitLab. Výzkumník zabezpečení získal přístupovými tokeny přístup k různým veřejným a soukromým projektům, čímž se zvýšil počet vystavených projektů ze 43 na 135. „Měl jsem soukromý token uživatele, který měl plný přístup ke všem 135 projektům na tomto GitLabu“ říká Mossab Husajna.
Většina veřejně zobrazitelných souborů obsahovala údaje týkající se služeb Samsung SmartThings a Bixby. Mohlo to být „katastrofální“, kdyby nějaký špatný herec manipuloval s kódem.
Společnost Samsung hostí ve Vandev Lab několik projektů, společnost GitLab repozitář pro vývojové účely. Stejné úložiště obsahuje projekty, jako je platforma Samsung SmartThings a služby Bixby.
Nicméně, Společnost Samsung nyní zrušila přístup ke všem klíčům a pověřením na testovací platformě. Společnost vyšetřuje, aby našla důkazy o jakémkoli externím přístupu po této události.
Po tom všem, co bylo objeveno, firma uplatní přísnější bezpečnostní opatření ve všech svých laboratořích, jasně, stejně jako v jiných sektorech otevřených různým publikům, s úmyslem, aby se něco podobného v budoucnu neopakovalo.
(Zdroj)
