Bir güvenlik araştırmacısı Mossab Hussein'e göre, Samsung hassas verileri sızdırıyordu, çeşitli önemli projeler için kimlik bilgileri, kaynak kodları ve gizli anahtarlar gibi.
Şirket bilmeden vermişti GitLab'daki geliştirme laboratuvarınızdaki kritik dosyalara "genel" erişim, bir parola ile korunmayan.
Açığa çıkan veriler, Samsung hizmetlerinin geliştirilmesi için kullanılan Amazon web hizmetleri hesabının kimlik bilgilerini içeriyordu. Bunlar ayrıca, günlük ve analiz verilerini içeren aynı AWS hesabına eklenmiş 100 S3 depolama bölmesini ortaya çıkarır.
Çalışan GitLab erişim belirteçleri de keşfedilen hassas verilerin bir parçasıdır. Güvenlik araştırmacısı, erişim belirteçleri ile çeşitli kamu ve özel projelere erişim elde ederek, maruz kalan projelerin sayısını 43'ten 135'e çıkardı. Mossab, "GitLab'daki 135 projenin tümüne tam erişimi olan bir kullanıcının özel jetonuna sahiptim" diyor. Hüseyin.
Herkese açık olarak görüntülenebilir dosyaların çoğu şunları içeriyordu: Samsung'un SmartThings ve Bixby hizmetleriyle ilgili veriler. Kötü bir aktör kodu manipüle ederse "felaket" olabilirdi.
Samsung, Vandev Laboratuvarı'nda birden fazla projeye ev sahipliği yapıyor, geliştirme amaçlı bir şirket GitLab deposu. Aynı depo, Samsung'un SmartThings platformu ve Bixby hizmetleri gibi projeleri içerir.
Sin ambargo, Samsung şimdi test platformundaki tüm anahtarlara ve kimlik bilgilerine erişimi iptal etti. Şirket, bu olaydan sonra herhangi bir dış erişim kanıtı bulmak için araştırma yapıyor.
Tüm bunlar keşfedildikten sonra, firma tüm laboratuvarlarında daha güçlü güvenlik önlemleri uygulayacak, açık bir şekilde, farklı kitlelere açık diğer sektörlerde olduğu gibi, gelecekte benzer bir şeyin bir daha yaşanmaması niyetiyle.
(Fuente)
