根據安全研究員 Mossab Hussein 的說法, 三星洩露敏感數據,例如各種重要項目的憑據、源代碼和密鑰。
不知不覺間,公司給了 對 GitLab 上開發實驗室中的關鍵文件的“公共”訪問權限,未受密碼保護。
暴露的數據包含用於開發三星服務的亞馬遜網絡服務帳戶的憑據。 這些還顯示附加到同一 AWS 帳戶的 100 個 S3 存儲共享,其中包含分析和日誌數據。
員工的 GitLab 訪問令牌也是所發現的敏感數據的一部分。 安全研究人員使用訪問令牌獲得了對多個公共和私人項目的訪問權限,將暴露的項目數量從43 個增加到135 個。“我擁有一個用戶的私人令牌,該用戶可以完全訪問該GitLab中的所有135 個項目。” » ”,莫薩布·侯賽因肯定地說。
包含的大多數公開可見文件 與 Samsung SmartThings 和 Bixby 服務相關的數據。 如果某些壞人篡改了代碼,那可能會是“災難性的”。
三星在 Vandev 實驗室舉辦多個項目,用於開發目的的公司 GitLab 存儲庫。 同一存儲庫包含三星的 SmartThings 平台和 Bixby 服務等項目。
黃大仙禁運, 三星現已撤銷對測試平台上所有密鑰和憑證的訪問權限。 該公司正在調查此事件後是否存在任何外部訪問的證據。
當這一切被發現之後, 該公司將在其所有實驗室採取更嚴格的安全措施顯然,以及向不同受眾開放的其他領域,目的是將來不再發生類似的事情。
(富恩特)