Luna trecută, s-a descoperit că o instanță GitLab pentru Vandev Lab, care este deținută de Samsung, nu și-a asigurat proiectele cu o parolă. Ca atare, zeci de proiecte de codare internă pentru diferite aplicații, servicii și proiecte Samsung au fost puse la dispoziția publicului, care la rândul lor au oferit acces suplimentar la proiectele Samsung, inclusiv popularul său ecosistem SmartThings pentru casele inteligente.
Fără a securiza corect proiectele cu o parolă, a dat oricui posibilitatea de a vizualiza codul sursă, de a-l descărca sau chiar de a face modificări.
Un cercetător de securitate de la SpiderSilk pe nume Mossab Hussein a descoperit scurgerea în securitate pe 10 aprilie și a raportat-o către Samsung. În concluziile sale, el a avut acces la întregul cont AWS, inclusiv peste o sută de găleți de stocare S3 care conțin jurnalele și date analitice.
Jurnalele și analizele au acoperit produsele Samsung, cum ar fi serviciile SmartThings și Bixby, precum și câteva jetoane GitLab private ale angajaților în text simplu. Prin utilizarea acestor jetoane, Hussein a putut accesa între 45 și 135 de proiecte publice și private.
Când a contactat Samsung, lui Hussein i s-a spus că unele dintre fișiere sunt destinate testării, dar a fost rapid să indice codul sursă pentru versiunea curentă a aplicației Android SmartThings. Totuși, aplicația a fost actualizată de la conversația lor.
Partea cea mai periculoasă a acestui acces este că, cu ajutorul jetoanelor GitLab, Hussein ar fi putut face modificări la codul Samsung. El a declarat:
Adevărata amenințare constă în posibilitatea ca cineva să dobândească acest nivel de acces la codul sursă al aplicației și să îl injecteze cu cod rău intenționat, fără ca firma să știe.
Certificativele AWS au fost revocate câteva zile după ce Hussein a contactat Samsung, dar nu a fost verificat dacă cheile secrete și certificatele au primit tratament similar. Așa cum este acum, Samsung încă nu a închis raportul de vulnerabilitate la aproape o lună după ce a fost raportat pentru prima dată. Cu toate acestea, când a fost solicitat un comentariu, Zach Dugan, un purtător de cuvânt al Samsung a răspuns:
Am revocat rapid toate cheile și certificatele pentru platforma de testare raportată și, deși nu am găsit încă dovezi că s-a produs orice acces extern, în prezent investigăm acest lucru în continuare.
Potrivit lui Hussein, până la 30 aprilie a trebuit revocată cheile private ale GitLab, iar el este citat spunând: „Nu am văzut o companie atât de mare să se ocupe de infrastructura lor folosind astfel de practici ciudate”. Când TechCrunch a pus întrebări specifice cu privire la incident sau pentru a face dovada că este doar pentru mediile de testare, Samsung a refuzat.
Acesta este doar un alt exemplu al modului în care practicile de securitate adecvate devin din ce în ce mai importante în zilele noastre, deoarece tehnologia își găsește calea în fiecare aspect al vieții noastre.
Hands-on-ul Google Nest Hub Max: un totul bun în totul pentru casa ta inteligentă
Este posibil să câștigăm o comision pentru achiziții folosind linkurile noastre. Aflați mai multe.
