根据安全研究员Mossab Hussein的说法, 三星泄露了敏感数据,例如各种重要项目的凭据,源代码和秘密密钥。
不知不觉中,公司给了 在GitLab上对开发文件中的关键文件进行“公共”访问,该密码不受密码保护。
公开的数据包含用于Amazon服务开发的Amazon Web服务帐户的凭证。 这些额外显示了连接到包含日志和分析数据的同一AWS账户的100个S3储物箱。
员工GitLab访问令牌也是发现的敏感数据的一部分。 安全研究人员使用访问令牌获得了对各种公共和私人项目的访问权,从而使暴露项目的数量从43个增加到135个。侯赛因。
包含的大多数可公开查看的文件 与三星的SmartThings和Bixby服务相关的数据。 如果一些坏演员操纵代码,那可能是“灾难性的”。
三星在Vandev Lab主持多个项目,用于开发目的的公司的GitLab存储库。 同一存储库包含诸如Samsung的SmartThings平台和Bixby服务之类的项目。
然而, 三星现已撤销对测试平台上所有密钥和凭据的访问。 该公司正在调查以查找此事件之后任何外部访问的证据。
在发现所有这些之后, 公司将在其所有实验室中采取更严格的安全措施,以及其他面向不同受众群体的行业,目的是将来不再发生类似的情况。
(源)