Turvallisuustutkijan Mossab Husseinin mukaan Samsung vuotaa arkaluonteisia tietoja, kuten tunnistetiedot, lähdekoodit ja salaiset avaimet, useille tärkeille projekteille.
Tietämättään yritys oli antanut "julkinen" pääsy kriittisiin tiedostoihin kehitysalaboratoriossasi GitLabissa, joita ei ole suojattu salasanalla.
Paljastetut tiedot sisälsivät Amazon-verkkopalvelutilin tunnistetiedot, jota käytettiin Samsung-palveluiden kehittämiseen. Nämä paljastavat lisäksi 100 S3-tallennusosastoa, jotka on liitetty samaan AWS-tiliin ja jotka sisältävät loki- ja analyysitietoja.
Työntekijän GitLab-käyttöoikeustunnukset ovat myös osa löydettyjä arkaluontoisia tietoja. Turvallisuustutkija pääsi pääsyyn useisiin julkisiin ja yksityisiin projekteihin käyttöoikeusmerkkeillä, mikä kasvatti altistettujen projektien määrää 43: sta 135: een. ”Minulla oli yksityinen tunnus käyttäjältä, jolla oli täysi pääsy kaikkiin GitLabin 135 projektiin.” Sanoi Mossab Hussein.
Suurin osa julkisesti katsotuista tiedostoista Samsungin SmartThings- ja Bixby-palveluihin liittyvät tiedot. Se olisi voinut olla "katastrofaalista", jos joku huono näyttelijä manipuloi koodia.
Samsung isännöi useita projekteja Vandev Labissa, yrityksen GitLab-arkisto kehitystarkoituksiin. Sama arkisto sisältää projekteja, kuten Samsungin SmartThings-alustan ja Bixby-palvelut.
Kuitenkin, Samsung on nyt peruuttanut pääsyn kaikkiin testiympäristön avaimiin ja tunnistetietoihin. Yritys tutkii todisteita mahdollisesta ulkoisesta pääsystä tämän tapahtuman jälkeen.
Kun kaikki tämä löydettiin, yritys soveltaa tiukempia turvatoimia kaikissa laboratorioissaan, selvästi sekä muilla aloilla, jotka ovat avoimia eri yleisöille, tarkoituksella, että jotain vastaavaa ei toistu tulevaisuudessa.
(Lähde)
