Menurut seorang penyelidik keselamatan, Mossab Hussein, Samsung membocorkan data sensitif, seperti kelayakan, kod sumber dan kunci rahsia, untuk pelbagai projek penting.
Tanpa sedar, syarikat itu telah memberi Akses "awam" ke fail kritikal di makmal pengembangan anda di GitLab, yang tidak dilindungi dengan kata laluan.
Data yang terdedah mengandungi bukti kelayakan untuk akaun perkhidmatan web Amazon yang digunakan untuk pengembangan perkhidmatan Samsung. Ini juga mendedahkan 100 ruang penyimpanan S3 yang dilampirkan ke akaun AWS yang sama yang mengandungi data log dan analisis.
Token akses GitLab pekerja juga merupakan sebahagian daripada data sensitif yang ditemui. Penyelidik keselamatan memperoleh akses ke pelbagai projek awam dan swasta dengan token akses, meningkatkan jumlah projek yang terdedah dari 43 menjadi 135. "Saya mempunyai token peribadi pengguna yang mempunyai akses penuh ke semua 135 projek di GitLab" Kata Mossab Hussein.
Sebilangan besar fail yang boleh dilihat secara terbuka yang terdapat data yang berkaitan dengan perkhidmatan SmartThings dan Bixby Samsung. Boleh jadi "bencana" jika beberapa pelakon jahat memanipulasi kod tersebut.
Samsung mengadakan pelbagai projek di Makmal Vandev, sebuah repositori syarikat GitLab untuk tujuan pembangunan. Repositori yang sama mengandungi projek seperti platform SmartThings Samsung dan perkhidmatan Bixby.
Walau bagaimanapun, Samsung kini telah mencabut akses ke semua kunci dan kelayakan di platform ujian. Syarikat ini sedang menyiasat untuk mencari bukti adanya akses luaran selepas peristiwa ini.
Setelah semua ini ditemui, firma tersebut akan menggunakan langkah keselamatan yang lebih kuat di semua makmalnya, jelas, dan juga di sektor lain terbuka untuk khalayak yang berbeza, dengan tujuan agar sesuatu yang serupa tidak berulang lagi di masa depan.
(Source)
