Według badacza ds. Bezpieczeństwa, Mossaba Husseina, Samsung wyciekał poufne dane, takich jak dane uwierzytelniające, kody źródłowe i tajne klucze, do różnych ważnych projektów.
Nieświadomie firma dała „publiczny” dostęp do krytycznych plików w laboratorium deweloperskim na GitLab, które nie były chronione hasłem.
Ujawnione dane zawierały poświadczenia konta usług internetowych Amazon, które było wykorzystywane do rozwoju usług Samsung. Te dodatkowo ujawniają 100 przedziałów pamięci S3 podłączonych do tego samego konta AWS zawierającego dane dziennika i dane analityczne.
Tokeny dostępu pracowników GitLab są również częścią wykrytych poufnych danych. Badacz bezpieczeństwa uzyskał dostęp do różnych publicznych i prywatnych projektów za pomocą tokenów dostępu, zwiększając liczbę ujawnionych projektów z 43 do 135. „Miałem prywatny token użytkownika, który miał pełny dostęp do wszystkich 135 projektów w tym GitLabie” - mówi Mossab Hussein.
Zawiera większość publicznie dostępnych plików dane związane z usługami Samsung SmartThings i Bixby. Mogłoby to być „katastrofalne”, gdyby jakiś zły aktor manipulował kodem.
Samsung prowadzi wiele projektów w Vandev Lab, firmowe repozytorium GitLab do celów programistycznych. To samo repozytorium zawiera projekty takie jak platforma SmartThings firmy Samsung i usługi Bixby.
Jednak Samsung cofnął teraz dostęp do wszystkich kluczy i danych uwierzytelniających na platformie testowej. Firma prowadzi dochodzenie, aby znaleźć dowody na dostęp z zewnątrz po tym wydarzeniu.
Po tym, jak to wszystko zostało odkryte, firma zastosuje silniejsze środki bezpieczeństwa we wszystkich swoich laboratoriachoczywiście, jak również w innych sektorach otwartych dla różnych odbiorców, z zamiarem, aby coś podobnego nie powtórzyło się w przyszłości.
(Źródło)