Turvauurija Mossab Husseini sõnul Samsung lekitas tundlikke andmeid, nagu volikirjad, lähtekoodid ja salajased võtmed, erinevate oluliste projektide jaoks.
Eneseteadmata oli ettevõte andnud "avalik" juurdepääs kriitilistele failidele teie GitLabi arenduslaboris, mis ei olnud parooliga kaitstud.
Avalikustatud andmed sisaldasid Amazoni veebiteenuste konto mandaate, mida kasutati Samsungi teenuste arendamiseks. Need paljastavad lisaks samale AWS-i kontole lisatud 100 S3 salvestusruumi, mis sisaldab logi- ja analüüsiandmeid.
Töötaja GitLabi juurdepääsumärgid on samuti osa tundlikest andmetest, mis avastati. Turvalisuse uurija sai juurdepääsulubadega juurdepääsu erinevatele avalikele ja eraprojektidele, suurendades sellega kokku puutunud projektide arvu 43-lt 135-le. “Mul oli kasutaja privaatne märgis, kellel oli täielik juurdepääs kõigile GitLabi 135 projektile.” Says Mossab Hussein.
Suurem osa avalikult vaadatavatest failidest sisaldus Samsungi SmartThings ja Bixby teenustega seotud andmed. See oleks võinud olla "katastroofiline", kui mõni halb näitleja koodiga manipuleeris.
Samsung korraldab Vandev Labis mitmeid projekte, ettevõtte arendamiseks mõeldud GitLabi hoidla. Samas hoidlas on selliseid projekte nagu Samsungi platvorm SmartThings ja Bixby teenused.
Kuid Samsung on nüüd tühistanud juurdepääsu testplatvormi kõigile võtmetele ja mandaatidele. Ettevõte uurib, et leida tõendeid mis tahes välise juurdepääsu kohta pärast seda sündmust.
Pärast selle avastamist ettevõte rakendab kõigis oma laborites rangemaid turvameetmeid, selgelt ja ka teistes erinevale publikule avatud sektorites, kavatsusega, et midagi sarnast ei korduks tulevikus.
(Allikas)
