보안 연구원 모 사브 후세인에 따르면 삼성은 민감한 데이터를 유출했습니다다양한 중요한 프로젝트에 대한 자격 증명, 소스 코드 및 비밀 키와 같은
무의식적으로 회사는 GitLab의 개발 실험실에서 중요한 파일에 대한 "공개"액세스, 비밀번호로 보호되지 않았습니다.
노출 된 데이터에는 삼성 서비스 개발에 사용 된 Amazon 웹 서비스 계정의 자격 증명이 포함되어 있습니다. 여기에는 로그 및 분석 데이터가 포함 된 동일한 AWS 계정에 연결된 100 개의 S3 스토리지 구획이 추가로 표시됩니다.
직원 GitLab 액세스 토큰도 발견 된 민감한 데이터의 일부입니다. 보안 연구원은 액세스 토큰을 사용하여 다양한 공개 및 비공개 프로젝트에 대한 액세스 권한을 얻었으며 노출 된 프로젝트 수를 43 개에서 135 개로 늘 렸습니다. 후세인.
공개적으로 볼 수있는 대부분의 파일은 삼성 SmartThings 및 Bixby 서비스 관련 데이터. 악의적 인 행위자가 코드를 조작했다면 "재앙 적"일 수 있습니다.
삼성은 Vandev Lab에서 여러 프로젝트를 호스팅합니다, 개발 목적으로 회사의 GitLab 저장소입니다. 동일한 저장소에는 Samsung의 SmartThings 플랫폼 및 Bixby 서비스와 같은 프로젝트가 포함되어 있습니다.
그러나, 삼성은 이제 테스트 플랫폼의 모든 키와 자격 증명에 대한 액세스를 취소했습니다.. 회사는이 이벤트 이후 외부 액세스 증거를 찾기 위해 조사 중입니다.
이 모든 것이 발견 된 후 회사는 모든 실험실에 더 강력한 보안 조치를 적용 할 것입니다., 분명히, 다른 청중들에게 열려있는 다른 분야에서도 비슷한 일이 미래에 다시는 일어나지 않을 것이라는 의도를 가지고 있습니다.
(출처)