Potrivit unui cercetător în securitate, Mossab Hussein, Samsung scurgea date sensibile, cum ar fi acreditări, coduri sursă și chei secrete, pentru diverse proiecte importante.
Fără să știe, compania dăduse acces „public” la fișiere critice în laboratorul dvs. de dezvoltare pe GitLab, care nu au fost protejate cu o parolă.
Datele expuse conțineau acreditări pentru contul de servicii web Amazon care a fost utilizat pentru dezvoltarea serviciilor Samsung. Acestea dezvăluie în plus 100 de compartimente de stocare S3 atașate aceluiași cont AWS care conțin date jurnal și analitice.
Jetonele de acces GitLab ale angajaților fac, de asemenea, parte din datele sensibile care au fost descoperite. Cercetătorul în materie de securitate a obținut acces la diverse proiecte publice și private cu jetoanele de acces, mărind numărul de proiecte expuse de la 43 la 135. „Aveam jetonul privat al unui utilizator care avea acces complet la toate cele 135 de proiecte pe acel GitLab” spune Mossab Hussein.
Majoritatea fișierelor vizibile public conținute date legate de serviciile Samsung SmartThings și Bixby. Ar fi putut fi „dezastruos” dacă un actor rău a manipulat codul.
Samsung găzduiește mai multe proiecte la Vandev Lab, un depozit GitLab al companiei în scopuri de dezvoltare. Același depozit conține proiecte precum platforma Samsung SmartThings și serviciile Bixby.
Sin embargo, Samsung a revocat acum accesul la toate cheile și acreditările de pe platforma de testare. Compania investighează pentru a găsi dovezi ale oricărui acces extern după acest eveniment.
După ce toate acestea au fost descoperite, firma va aplica măsuri de securitate mai puternice în toate laboratoarele sale, în mod clar, precum și în alte sectoare deschise publicului diferit, cu intenția ca ceva similar să nu se mai repete în viitor.
(Fuente)
