Ifølge en sikkerhetsforsker, Mossab Hussein, Samsung lekker sensitiv data, som legitimasjon, kildekoder og hemmelige nøkler, for forskjellige viktige prosjekter.
Uvitende hadde selskapet gitt "offentlig" tilgang til kritiske filer i utviklingslaboratoriet ditt på GitLab, som ikke var beskyttet med passord.
De eksponerte dataene inneholdt legitimasjon for Amazon-webtjenestekontoen som ble brukt til utvikling av Samsung-tjenester. Disse avslører i tillegg 100 S3 lagringsrom knyttet til den samme AWS-kontoen som inneholder logg- og analysedata.
GitLab-tilgangstokener for ansatte er også en del av de sensitive dataene som ble oppdaget. Sikkerhetsforskeren fikk tilgang til ulike offentlige og private prosjekter med tilgangstokenene, og økte antall eksponerte prosjekter fra 43 til 135. "Jeg hadde det private token til en bruker som hadde full tilgang til alle 135 prosjektene på den GitLab" sier Mossab Hussein.
De fleste av filene som kan vises offentlig data relatert til Samsungs SmartThings- og Bixby-tjenester. Det kunne ha vært "katastrofalt" hvis en eller annen dårlig skuespiller manipulerte koden.
Samsung er vert for flere prosjekter hos Vandev Lab, et selskap GitLab-depot for utviklingsformål. Det samme depotet inneholder prosjekter som Samsungs SmartThings-plattform og Bixby-tjenester.
Imidlertid Samsung har nå tilbakekalt tilgang til alle nøkler og legitimasjon på testplattformen. Selskapet undersøker for å finne bevis på ekstern tilgang etter denne hendelsen.
Etter at alt dette ble oppdaget, firmaet vil bruke sterkere sikkerhetstiltak i alle laboratoriene, tydeligvis, så vel som i andre sektorer som er åpne for forskjellige målgrupper, med den hensikt at noe lignende ikke vil skje igjen i fremtiden.
(Kilde)
