По словам исследователя безопасности Mossab Hussein, Samsung утекала конфиденциальные данные, такие как учетные данные, исходные коды и секретные ключи, для различных важных проектов.
По незнанию компания предоставила «открытый» доступ к важным файлам в вашей лаборатории разработки на GitLab, которые не были защищены паролем.
Открытые данные содержали учетные данные для учетной записи веб-сервисов Amazon, которая использовалась для разработки сервисов Samsung. Они дополнительно показывают 100 отсеков хранения S3, прикрепленных к одной учетной записи AWS, содержащей данные журналов и аналитики.
Токены доступа сотрудников GitLab также являются частью обнаруженных конфиденциальных данных. Исследователь безопасности получил доступ к различным публичным и частным проектам с помощью токенов доступа, увеличив количество открытых проектов с 43 до 135. «У меня был личный токен пользователя, который имел полный доступ ко всем 135 проектам на этом GitLab», - говорит Моссаб. Хусейн.
Большинство общедоступных файлов содержали данные, относящиеся к сервисам Samsung SmartThings и Bixby. Было бы «катастрофой», если бы какой-нибудь злой субъект манипулировал кодом.
Samsung реализует несколько проектов в Vandev Lab, репозиторий GitLab компании для целей разработки. В том же репозитории находятся такие проекты, как платформа Samsung SmartThings и сервисы Bixby.
Тем не менее, Samsung закрыла доступ ко всем ключам и учетным данным на тестовой платформе.. Компания ведет расследование, чтобы найти доказательства любого внешнего доступа после этого события.
После того, как все это было обнаружено, фирма будет применять более строгие меры безопасности во всех своих лабораториях, очевидно, как и в других секторах, открытых для разной аудитории, с намерением, чтобы нечто подобное больше не повторилось в будущем.
(Источник)
