Volgens een beveiligingsonderzoeker, Mossab Hussein, Samsung lekte gevoelige gegevens uit, zoals inloggegevens, broncodes en geheime sleutels, voor verschillende belangrijke projecten.
Onbewust had het bedrijf gegeven "openbare" toegang tot kritieke bestanden in uw ontwikkelingslaboratorium op GitLab, die niet waren beveiligd met een wachtwoord.
De blootgestelde gegevens bevatten inloggegevens voor het Amazon-webservices-account dat werd gebruikt voor de ontwikkeling van Samsung-services. Deze onthullen bovendien 100 S3-opslagcompartimenten die zijn gekoppeld aan hetzelfde AWS-account met log- en analysegegevens.
GitLab-toegangstokens voor medewerkers maken ook deel uit van de gevoelige gegevens die zijn ontdekt. De beveiligingsonderzoeker kreeg toegang tot verschillende openbare en privéprojecten met de toegangstokens, waardoor het aantal blootgestelde projecten toenam van 43 naar 135. "Ik had het privé-token van een gebruiker die volledige toegang had tot alle 135 projecten op dat GitLab", zegt Mossab Hussein.
De meeste van de openbaar zichtbare bestanden bevatten gegevens met betrekking tot de SmartThings- en Bixby-services van Samsung Het had "rampzalig" kunnen zijn als een slechte actor de code had gemanipuleerd.
Samsung host meerdere projecten bij Vandev Lab, een GitLab-repository van een bedrijf voor ontwikkelingsdoeleinden. Dezelfde repository bevat projecten zoals het SmartThings-platform van Samsung en Bixby-services.
Echter Samsung heeft nu de toegang tot alle sleutels en inloggegevens op het testplatform ingetrokken Het bedrijf doet onderzoek om bewijs te vinden van externe toegang na deze gebeurtenis.
Nadat dit alles was ontdekt, het bedrijf zal in al zijn laboratoria strengere veiligheidsmaatregelen toepassen, duidelijk evenals in andere sectoren die openstaan voor verschillende doelgroepen, met de bedoeling dat iets soortgelijks in de toekomst niet meer zal gebeuren.
(Bron)
