A múlt hónapban felfedezték, hogy a Vandev Lab GitLab példánya, amely a Samsung tulajdonában van, nem volt jelszóval biztosítva a projektjét. Mint ilyen, tucatnyi belső kódolási projektet hoztak nyilvánosságra a különféle Samsung alkalmazások, szolgáltatások és projektek számára, amelyek viszont további hozzáférést biztosítottak a Samsung projektekhez, beleértve a népszerű intelligens otthoni ökoszisztémát, a SmartThings szoftvert.
A projektek jelszóval történő megfelelő biztosítása nélkül bárki számára lehetővé tette a forráskód megtekintését, letöltését, vagy akár módosítások elvégzését.
A SpiderSilk egyik biztonsági kutatója, Mossab Hussein, április 10-én fedezte fel a biztonság megszűnését, és jelentette a Samsungnak. Megállapításai szerint hozzáférést kapott a teljes AWS-fiókhoz, beleértve több mint száz S3 tárolóvödröt, amelyek naplókat és analitikai adatokat tartalmaztak.
A naplók és elemzések a Samsung olyan termékeire terjedtek ki, mint a SmartThings és a Bixby szolgáltatások, valamint számos alkalmazott privát GitLab tokenjére egyszerű szövegben. Ezen tokenek használatával Husszein 45 és 135 köz- és magánprojekthez tudott hozzáférni.
Amikor felvette a kapcsolatot a Samsunggal, Husseinnak elmondták, hogy néhány fájlt tesztelésre készítettek, de gyorsan rámutatott az Android SmartThings alkalmazás jelenlegi verziójának forráskódjára. Az alkalmazást azonban a beszélgetésük óta frissítették.
Ennek a hozzáférésnek a legveszélyesebb része, hogy a GitLab tokenekkel Husszein megváltoztathatta volna a Samsung kódját. Állította:
A valódi fenyegetés abban rejlik, hogy valaki megszerezheti az alkalmazás forráskódjához való ilyen szintű hozzáférést, és rosszindulatú kóddal fecskendezheti be anélkül, hogy a vállalat tudná.
Az AWS hitelesítő adatait néhány nappal azt követően vontak vissza, hogy Hussein kapcsolatba lépett a Samsung-lal, ám még nem ellenőrizték, hogy a titkos kulcsok és tanúsítványok hasonló módon bántak-e. A jelenlegi helyzetben a Samsung még mindig nem zárta le a sebezhetőségről szóló jelentést csaknem egy hónappal az első bejelentés után. Amikor hozzászólást kértek, Zach Dugan, a Samsung szóvivője azt válaszolta:
Gyorsan visszavontuk a jelentett tesztelési platformon szereplő összes kulcsot és tanúsítványt, és bár még nem találtunk bizonyítékot arra, hogy bármilyen külső hozzáférés történt, ezt jelenleg tovább vizsgáljuk.
Husszein szerint április 30-ig tartott, amíg a GitLab magánkulcsokat visszavonták, és idézve azt mondják: "Nem láttam olyan nagyvállalatot, amely ilyen furcsa gyakorlatokkal kezeli az infrastruktúrájukat." Amikor a TechCrunch konkrét kérdéseket tett fel az eseményről, vagy annak bizonyítására, hogy csak környezetek tesztelésére szolgál, a Samsung elutasította.
Ez csak egy újabb példa arra, hogy a megfelelő biztonsági gyakorlatok egyre fontosabbá válnak manapság, amikor a technológia életünk minden aspektusába bekerül.
A Google Nest Hub Max gyakorlati lehetőségei: Kiváló mindent egyben okos otthonához
Jutalékokat kereshetünk a linkek segítségével a vásárlásokért. Tudj meg többet.
