セキュリティ研究者のモサブ・フセインによると、 サムスンは機密データを漏らしていた、さまざまな重要なプロジェクトの資格情報、ソースコード、秘密鍵など。
知らず知らずのうちに、会社は与えました GitLabの開発ラボにある重要なファイルへの「パブリック」アクセス、パスワードで保護されていませんでした。
公開されたデータには、Samsungサービスの開発に使用されたAmazonWebサービスアカウントの認証情報が含まれていました。 これらはさらに、ログと分析データを含む同じAWSアカウントに接続された100個のS3ストレージコンパートメントを明らかにします。
従業員のGitLabアクセストークンも、発見された機密データの一部です。 セキュリティ研究者は、アクセストークンを使用してさまざまなパブリックプロジェクトとプライベートプロジェクトにアクセスできるようになり、公開されたプロジェクトの数が43から135に増えました。「GitLabの135のプロジェクトすべてにフルアクセスできるユーザーのプライベートトークンがありました」とMossab氏は言います。フセイン。
公開されているファイルのほとんどには、 SamsungのSmartThingsおよびBixbyサービスに関連するデータ。 悪意のある人物がコードを操作した場合、それは「悲惨」だった可能性があります。
SamsungはVandevLabで複数のプロジェクトを主催しています、開発目的の会社のGitLabリポジトリ。 同じリポジトリには、SamsungのSmartThingsプラットフォームやBixbyサービスなどのプロジェクトが含まれています。
しかし、 Samsungは、テストプラットフォーム上のすべてのキーと資格情報へのアクセスを取り消しました。。 同社は、このイベント後の外部アクセスの証拠を見つけるために調査を行っています。
これがすべて発見された後、 同社はすべての研究所でより強力なセキュリティ対策を適用します、明らかに、そしてさまざまな聴衆に開かれた他のセクターでは、同様のことが将来再び起こらないことを意図しています。
(出典)