Laut einem Sicherheitsforscher, Mossab Hussein, Samsung hat sensible Daten preisgegeben, wie Anmeldeinformationen, Quellcodes und geheime Schlüssel, für verschiedene Großprojekte.
Unwissentlich hatte das Unternehmen nachgegeben „öffentlicher“ Zugriff auf kritische Dateien in Ihrem Entwicklungslabor auf GitLab, die nicht mit einem Passwort geschützt waren.
Die offengelegten Daten enthielten Anmeldeinformationen für das Amazon-Webservices-Konto, das für die Entwicklung der Samsung-Dienste verwendet wurde. Diese zeigen zusätzlich 100 S3-Speicherfreigaben an, die mit demselben AWS-Konto verbunden sind und Analyse- und Protokolldaten enthalten.
Zu den entdeckten sensiblen Daten gehören auch die GitLab-Zugriffstokens der Mitarbeiter. Der Sicherheitsforscher erhielt mit den Zugriffstoken Zugriff auf mehrere öffentliche und private Projekte, wodurch sich die Zahl der exponierten Projekte von 43 auf 135 erhöhte. „Ich hatte den privaten Token eines Benutzers, der vollen Zugriff auf alle 135 Projekte in diesem GitLab hatte“, sagt Mossab Hussein.
Die meisten öffentlich sichtbaren Dateien enthalten Daten im Zusammenhang mit Samsung SmartThings- und Bixby-Diensten. Es hätte „katastrophal“ sein können, wenn ein böser Akteur den Code manipuliert hätte.
Samsung hostet mehrere Projekte im Vandev Lab, ein GitLab-Repository des Unternehmens für Entwicklungszwecke. Das gleiche Repository enthält Projekte wie die SmartThings-Plattform von Samsung und Bixby-Dienste.
Jedoch Samsung hat nun den Zugriff auf alle Schlüssel und Zugangsdaten auf der Testplattform entzogen. Das Unternehmen ermittelt, um Hinweise auf einen externen Zugriff nach diesem Vorfall zu finden.
Nachdem dies alles entdeckt wurde, Das Unternehmen wird in allen Laboren strengere Sicherheitsmaßnahmen anwenden, natürlich, sowie in anderen Sektoren, die einem anderen Publikum zugänglich sind, mit der Absicht, dass so etwas in Zukunft nicht noch einmal passiert.
(Quelle)
