Po besedah raziskovalca varnosti Mossaba Husseina je Samsung je puščal občutljive podatke, kot so poverilnice, izvorne kode in tajni ključi, za različne pomembne projekte.
Nevede je podjetje dalo "javni" dostop do kritičnih datotek v vašem razvojnem laboratoriju na GitLabu, ki niso bili zaščiteni z geslom.
Izpostavljeni podatki so vsebovali poverilnice za račun spletnih storitev Amazon, ki je bil uporabljen za razvoj storitev Samsung. Ti poleg tega razkrijejo 100 predelkov za shranjevanje S3, pritrjenih na isti račun AWS, ki vsebujejo dnevniške in analitične podatke.
Žetoni za dostop zaposlenih GitLab so tudi del odkritih občutljivih podatkov. Raziskovalec varnosti je z žetoni dostopa dobil dostop do različnih javnih in zasebnih projektov, s čimer je število izpostavljenih projektov povečal s 43 na 135. "Imel sem zasebni žeton uporabnika, ki je imel poln dostop do vseh 135 projektov v tem GitLabu." Pravi Mossab Husein.
Vsebovala je večina javno dostopnih datotek podatki, povezani s Samsungovimi storitvami SmartThings in Bixby. Lahko bi bilo "katastrofalno", če bi nek slab igralec manipuliral s kodo.
Samsung gosti več projektov v laboratoriju Vandev, skladišče podjetja GitLab za razvojne namene. Isto skladišče vsebuje projekte, kot sta Samsungova platforma SmartThings in storitve Bixby.
Vendar pa Samsung je zdaj preklical dostop do vseh ključev in poverilnic na testni platformi. Družba preiskuje, da bi po tem dogodku našla dokaze o kakršnem koli zunanjem dostopu.
Po odkritju vsega tega podjetje bo uporabljalo strožje varnostne ukrepe v vseh svojih laboratorijih, tudi v drugih sektorjih, odprtih za različne ciljne skupine, z namenom, da se kaj podobnega v prihodnosti ne ponovi.
(Vir)
