據techcrunch報導,杜拜網路安全公司SpiderSilk的安全研究員莫薩布‧海珊(Mossab Hussein)最近發現,三星工程師使用的某開發實驗室洩露了其多個內部專案的高度敏感原始程式碼、憑證和密鑰,其中包括其SmartThings平台項目。
三星將幾十個內部程式碼專案留在了三星旗下實驗室Vandev Lab上的GitLab實例中。這個實例被工作人員用來共享三星的各種APP、服務和專案,並為其貢獻程式碼。由於這些專案被設置為「公共」,而且沒有用密碼進行適當的保護,因此任何人都可以深入查看每個專案的進展,存取和下載原始碼,進而導致機密訊息洩露。
其中一個專案包含的憑證允許任何人存取三星工程師正在使用的完整AWS帳戶,裡面包括100多個S3存儲桶,其中包含日誌和分析數據。許多文件夾包含三星SmartThings和Bixby服務的日誌和分析i資料,但也有幾名員工公開的、以明文形式存儲的私有GitLab token,這使得海珊能夠利用42個公共專案獲得的訊息對另外135個專案進行存取,包括許多私人專案。
三星發言人扎克‧杜根(Zach Dugan)表示:「最近,一位個人安全研究員報告說,我們一個測試平台的安全獎勵計畫存在漏洞。我們迅速撤銷了其報告測試平台的所有密鑰和憑證,雖然我們尚未找到任何外部存取的證據,但我們目前正在對此進行進一步調查。」
海珊稱,三星的數據洩露是他迄今最大的發現。他說:「我還沒有見過這麼大的一家公司使用這種奇怪的做法來處理他們的基礎設施。」
- 本文授權轉載自Pingwest
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!