Selon un chercheur en sécurité, Mossab Hussein, Samsung divulguait des données sensibles, tels que les informations d'identification, les codes sources et les clés secrètes, pour divers projets importants.
Sans le savoir, l'entreprise avait donné accès "public" aux fichiers critiques de votre laboratoire de développement sur GitLab, qui n'étaient pas protégés par un mot de passe.
Les données exposées contenaient des informations d'identification pour le compte de services Web Amazon qui a été utilisé pour le développement des services Samsung. Ceux-ci révèlent en outre 100 compartiments de stockage S3 attachés au même compte AWS contenant des données de journal et d'analyse.
Les jetons d'accès GitLab des employés font également partie des données sensibles qui ont été découvertes. Le chercheur en sécurité a eu accès à divers projets publics et privés avec les jetons d'accès, augmentant le nombre de projets exposés de 43 à 135. «J'avais le jeton privé d'un utilisateur qui avait un accès complet aux 135 projets sur ce GitLab», déclare Mossab Hussein.
La plupart des fichiers accessibles au public contenaient les données relatives aux services SmartThings et Bixby de Samsung. Cela aurait pu être "désastreux" si un mauvais acteur avait manipulé le code.
Samsung héberge plusieurs projets au Vandev Lab, un référentiel GitLab d'entreprise à des fins de développement. Le même référentiel contient des projets tels que la plate-forme SmartThings de Samsung et les services Bixby.
Toutefois, Samsung a maintenant révoqué l'accès à toutes les clés et informations d'identification sur la plate-forme de test. La société enquête pour trouver des preuves de tout accès externe après cet événement.
Après tout cela a été découvert, le cabinet appliquera des mesures de sécurité plus fortes dans tous ses laboratoires, clairement, ainsi que dans d'autres secteurs ouverts à des publics différents, avec l'intention que quelque chose de similaire ne se reproduise plus à l'avenir.
(source)
