לדברי חוקר אבטחה, מוסב חוסין, סמסונג הדליפה נתונים רגישים, כגון אישורים, קודי מקור ומפתחות סודיים, עבור פרויקטים חשובים שונים.
בלי לדעת, החברה נתנה גישה "ציבורית" לקבצים קריטיים במעבדת הפיתוח שלך ב- GitLab, שלא היו מוגנים באמצעות סיסמה.
הנתונים החשופים הכילו אישורים עבור חשבון שירותי האינטרנט של אמזון ששימש לפיתוח שירותי סמסונג. אלה חושפים בנוסף 100 תאי אחסון S3 המחוברים לאותו חשבון AWS המכיל נתוני יומן וניתוח.
אסימונים לגישה של עובד GitLab הם גם חלק מהנתונים הרגישים שהתגלו. חוקר האבטחה קיבל גישה לפרויקטים ציבוריים ופרטיים שונים באמצעות אסימוני הגישה, והגדיל את מספר הפרויקטים שנחשפו מ -43 ל -135. "היה לי האסימון הפרטי של משתמש שהיה לו גישה מלאה לכל 135 הפרויקטים באותו גיטלב", אומר מוסב. חוסין.
רוב הקבצים הניתנים לצפייה כלולים נתונים הקשורים לשירותי SmartThings ו- Bixby של סמסונג. זה יכול היה להיות "הרסני" אם שחקן גרוע כלשהו עשה מניפולציה בקוד.
סמסונג מארחת מספר פרויקטים במעבדת Vandev, מאגר GitLab של חברה למטרות פיתוח. אותו מאגר מכיל פרויקטים כמו פלטפורמת SmartThings של סמסונג ושירותי Bixby.
עם זאת, כעת ביטלה סמסונג את הגישה לכל המפתחות והאישורים בפלטפורמת הבדיקה. החברה חוקרת למצוא עדויות לכל גישה חיצונית לאחר אירוע זה.
אחרי שכל זה התגלה, המשרד יישם אמצעי אבטחה חזקים יותר בכל מעבדותיו, באופן ברור, כמו גם במגזרים אחרים הפתוחים לקהלים שונים, מתוך כוונה שמשהו דומה לא יקרה שוב בעתיד.
(מקור)
