Podľa výskumníka v oblasti bezpečnosti Mossaba Husajna Samsungu unikali citlivé údaje, ako sú poverenia, zdrojové kódy a tajné kľúče, pre rôzne dôležité projekty.
Spoločnosť nevedomky dala „verejný“ prístup k kritickým súborom vo vašom vývojovom laboratóriu na GitLab, ktoré neboli chránené heslom.
Odkryté údaje obsahovali poverenia pre účet webových služieb Amazon, ktorý sa použil na vývoj služieb Samsung. Tieto navyše odhaľujú 100 úložných priestorov S3 pripojených k rovnakému účtu AWS obsahujúcich logovacie a analytické údaje.
Zamestnanecké prístupové tokeny GitLab sú tiež súčasťou citlivých údajov, ktoré boli objavené. Výskumný pracovník v oblasti bezpečnosti získal prístupovými tokenmi prístup k rôznym verejným a súkromným projektom, čím sa zvýšil počet exponovaných projektov zo 43 na 135. „Mal som súkromný token používateľa, ktorý mal plný prístup ku všetkým 135 projektom v danom GitLab„ Hovorí Mossab Husajna.
Väčšina verejne prístupných súborov obsahovala údaje týkajúce sa služieb Samsung SmartThings a Bixby. Mohlo to byť „katastrofálne“, keby s kódom manipuloval nejaký zlý herec.
Spoločnosť Samsung hostí vo Vandev Lab viac projektov, úložisko spoločnosti GitLab pre vývojové účely. Rovnaké úložisko obsahuje projekty ako platforma Samsung SmartThings a služby Bixby.
Avšak, Spoločnosť Samsung teraz zrušila prístup ku všetkým kľúčom a povereniam na testovacej platforme. Spoločnosť vyšetruje s cieľom nájsť dôkazy o akomkoľvek externom prístupe po tejto udalosti.
Po tom všetkom, čo sa objavilo, firma uplatní prísnejšie bezpečnostné opatrenia vo všetkých svojich laboratóriách, jasne, ako aj v iných odvetviach otvorených rôznym publikám, s úmyslom, aby sa niečo podobné v budúcnosti nezopakovalo.
(Zdroj)
