Menurut seorang peneliti keamanan, Mossab Hussein, Samsung membocorkan data sensitif, seperti kredensial, kode sumber, dan kunci rahasia, untuk berbagai proyek penting.
Tanpa disadari, perusahaan telah memberi akses "publik" ke file penting di lab pengembangan Anda di GitLab, yang tidak dilindungi sandi.
Data yang terungkap berisi kredensial untuk akun layanan web Amazon yang digunakan untuk pengembangan layanan Samsung. Ini juga mengungkapkan 100 kompartemen penyimpanan S3 yang dilampirkan ke akun AWS yang sama yang berisi data log dan analitik.
Token akses GitLab karyawan juga merupakan bagian dari data sensitif yang ditemukan. Peneliti keamanan memperoleh akses ke berbagai proyek publik dan swasta dengan token akses, meningkatkan jumlah proyek yang terekspos dari 43 menjadi 135. “Saya memiliki token pribadi pengguna yang memiliki akses penuh ke semua 135 proyek di GitLab itu", kata Mossab Hussein.
Sebagian besar berisi file yang dapat dilihat secara publik data yang terkait dengan layanan SmartThings dan Bixby Samsung. Ini bisa menjadi "bencana" jika beberapa aktor jahat memanipulasi kode.
Samsung menyelenggarakan banyak proyek di Vandev Lab, repositori GitLab perusahaan untuk tujuan pengembangan. Repositori yang sama berisi proyek seperti platform SmartThings Samsung dan layanan Bixby.
Namun, Samsung sekarang telah mencabut akses ke semua kunci dan kredensial di platform pengujian. Perusahaan sedang menyelidiki untuk menemukan bukti adanya akses eksternal setelah peristiwa ini.
Setelah semua ini ditemukan, perusahaan akan menerapkan langkah-langkah keamanan yang lebih kuat di semua laboratoriumnya, jelas, serta di sektor lain terbuka untuk khalayak yang berbeda, dengan maksud agar hal serupa tidak terulang kembali di masa mendatang.
(Sumber)
