De acordo com um pesquisador de segurança, Mossab Hussein, Samsung estava vazando dados confidenciais, como credenciais, códigos-fonte e chaves secretas, para vários projetos importantes.
Sem saber, a empresa deu acesso "público" a arquivos críticos em seu laboratório de desenvolvimento no GitLab, que não estavam protegidos por senha.
Os dados expostos continham credenciais para a conta de serviços da Web da Amazon que foi usada para o desenvolvimento de serviços Samsung. Além disso, eles revelam 100 compartimentos de armazenamento S3 anexados à mesma conta da AWS contendo dados de registro e análise.
Os tokens de acesso do funcionário GitLab também fazem parte dos dados confidenciais que foram descobertos. O pesquisador de segurança ganhou acesso a vários projetos públicos e privados com os tokens de acesso, aumentando o número de projetos expostos de 43 para 135. “Eu tinha o token privado de um usuário que tinha acesso total a todos os 135 projetos naquele GitLab”, afirma Mossab Hussein.
A maioria dos arquivos visíveis publicamente continham dados relacionados aos serviços SmartThings e Bixby da Samsung. Poderia ter sido "desastroso" se algum mau ator manipulasse o código.
Samsung hospeda vários projetos no Vandev Lab, um repositório GitLab da empresa para fins de desenvolvimento. O mesmo repositório contém projetos como a plataforma SmartThings da Samsung e serviços Bixby.
No entanto, A Samsung revogou o acesso a todas as chaves e credenciais na plataforma de teste. A empresa está investigando para encontrar evidências de qualquer acesso externo após este evento.
Depois que tudo isso foi descoberto, a empresa aplicará medidas de segurança mais fortes em todos os seus laboratórios, claro, bem como em outros setores abertos a diferentes públicos, com a intenção de que algo semelhante não aconteça novamente no futuro.
(fonte)
Seja o primeiro a comentar