Secondo un ricercatore sulla sicurezza, Mossab Hussein, Samsung stava perdendo dati sensibili, come credenziali, codici sorgente e chiavi segrete, per vari progetti importanti.
Inconsapevolmente, la compagnia aveva dato accesso "pubblico" a file critici nel tuo lab di sviluppo su GitLab, che non erano protetti da password.
I dati esposti contenevano credenziali per l'account dei servizi Web Amazon utilizzato per lo sviluppo dei servizi Samsung. Questi rivelano inoltre 100 vani di archiviazione S3 collegati allo stesso account AWS contenenti dati di log e analisi.
Anche i token di accesso GitLab dei dipendenti fanno parte dei dati sensibili scoperti. Il ricercatore di sicurezza ha ottenuto l'accesso a vari progetti pubblici e privati con i token di accesso, aumentando il numero di progetti esposti da 43 a 135. "Avevo il token privato di un utente che aveva pieno accesso a tutti i 135 progetti su quel GitLab", afferma Mossab Hussein.
La maggior parte dei file visualizzabili pubblicamente contenevano dati relativi ai servizi SmartThings e Bixby di Samsung. Sarebbe potuto essere "disastroso" se qualche cattivo attore avesse manipolato il codice.
Samsung ospita più progetti presso Vandev Lab, un repository GitLab aziendale per scopi di sviluppo. Lo stesso repository contiene progetti come la piattaforma SmartThings di Samsung e i servizi Bixby.
Tuttavia, Samsung ha ora revocato l'accesso a tutte le chiavi e le credenziali sulla piattaforma di test. L'azienda sta indagando per trovare prove di eventuali accessi esterni dopo questo evento.
Dopo che tutto questo è stato scoperto, l'azienda applicherà misure di sicurezza più rigorose in tutti i suoi laboratori, chiaramente, così come in altri settori aperti a pubblici diversi, con l'intenzione che qualcosa di simile non accada più in futuro.
(fonte)
