Минулого місяця було виявлено, що екземпляр GitLab для Vandev Lab, яка належить Samsung, не захистив свої проекти паролем. Таким чином, десятки проектів внутрішнього кодування для різних додатків, служб та проектів Samsung були відкриті для громадськості, що, в свою чергу, забезпечило подальший доступ до проектів Samsung, включаючи популярну екосистему розумного дому SmartThings.
Без належного захисту проектів паролем, він надав можливість переглядати вихідний код, завантажити його або навіть внести зміни.
Дослідник безпеки компанії SpiderSilk на ім’я Моссаб Хусейн 10 квітня виявив проміжок безпеки та повідомив про це Samsung. За його висновками він мав доступ до всього облікового запису AWS, включаючи понад сто відра для зберігання S3, що містять журнали та аналітичні дані.
Журнали та аналітика охоплювали продукти Samsung, такі як послуги SmartThings та Bixby, а також приватні жетони GitLab декількох працівників у простому тексті. За допомогою цих жетонів Хусейну вдалося отримати доступ між 45 та 135 державними та приватними проектами.
Коли він зв’язався з Samsung, Хуссейну сказали, що деякі файли були для тестування, але він швидко вказав на вихідний код поточної версії програми Android SmartThings. Проте додаток оновлюється з часу їхньої розмови.
Найнебезпечніша частина цього доступу полягає в тому, що, використовуючи маркери GitLab, Хуссейн міг внести зміни в код Samsung. Він заявив:
Реальна загроза полягає у можливості того, щоб хтось отримав такий рівень доступу до вихідного коду програми та ввів його зловмисним кодом, не знаючи компанії.
Повноваження AWS були відкликані через кілька днів після того, як Хуссейн зв’язався з Samsung, але це не було підтверджено, чи секретні ключі та сертифікати отримали подібне звернення. Як і зараз, Samsung досі не закрила звіт про вразливість майже місяць після його вперше. Однак, запитавши про коментар, Зах Дуган, представник Samsung відповів:
Ми швидко скасували всі ключі та сертифікати для платформи тестування, про яку повідомлялося, і поки нам ще не доведеться знайти докази того, що будь-який зовнішній доступ стався, ми зараз це досліджуємо далі.
За словами Хуссейна, до 30 квітня для відкликання приватних ключів GitLab потрібно було відкликати, і він цитує: "Я не бачив, щоб така велика компанія обробляла їх інфраструктуру, використовуючи подібні дивні практики". Коли TechCrunch задав конкретні запитання щодо інциденту, або для підтвердження, що це стосується лише тестування середовищ, Samsung відмовилася.
Це лише ще один приклад того, як правильні методи безпеки стають все більш важливими в наші дні, коли технології знаходять своє значення у кожному аспекті нашого життя.
Налаштування Google Nest Hub Max: чудове все-в-одному для вашого розумного будинку
Ми можемо заробляти комісію за покупки, використовуючи наші посилання. Вчи більше.
