Minulý mesiac sa zistilo, že inštancia GitLab pre spoločnosť Vandev Lab, ktorú vlastní spoločnosť Samsung, nezabezpečila svoje projekty heslom. Verejnosti boli takto sprístupnené desiatky projektov interného kódovania pre rôzne aplikácie, služby a projekty spoločnosti Samsung, čo následne poskytlo ďalší prístup k projektom spoločnosti Samsung vrátane jej populárneho inteligentného domáceho ekosystému SmartThings.
Bez náležitého zabezpečenia projektov pomocou hesla dal komukoľvek možnosť zobraziť zdrojový kód, stiahnuť ho alebo dokonca vykonať zmeny.
Výskumník bezpečnosti zo spoločnosti SpiderSilk s názvom Mossab Hussein odkryl bezpečnostnú stratu 10. apríla a oznámil ju spoločnosti Samsung. Vo svojich zisteniach mal prístup k celému účtu AWS vrátane viac ako stovky úložných vedier S3 obsahujúcich protokoly a analytické údaje.
Protokoly a analytika pokrývali produkty spoločnosti Samsung, ako sú služby SmartThings a Bixby, ako aj súkromné tokeny GitLab viacerých zamestnancov vo formáte obyčajného textu. Pomocou týchto tokenov mal Husajn prístup k 45 až 135 verejným a súkromným projektom.
Keď kontaktoval spoločnosť Samsung, Husseinovi bolo povedané, že niektoré súbory boli na testovanie, ale rýchlo poukázal na zdrojový kód súčasnej verzie aplikácie Android SmartThings, ktorá bola prítomná. Aplikácia však bola od konverzácie aktualizovaná.
Najnebezpečnejšou časťou tohto prístupu je skutočnosť, že pomocou tokenov GitLab mohol Husajn vykonať zmeny v kóde Samsung. Uviedol:
Skutočná hrozba spočíva v možnosti, že niekto získa túto úroveň prístupu k zdrojovému kódu aplikácie a vstrekne ho so škodlivým kódom bez vedomia spoločnosti.
Poverenia spoločnosti AWS boli zrušené niekoľko dní po tom, čo Husajn kontaktoval spoločnosť Samsung, ale nebolo overené, či sa s tajnými kľúčmi a certifikátmi zaobchádzalo rovnako. Ako je to teraz, spoločnosť Samsung správu o zraniteľnosti nezatvorila takmer mesiac po jej prvom nahlásení. Na žiadosť o komentár však hovorca spoločnosti Samsung Dugan odpovedal:
Rýchlo sme zrušili všetky kľúče a certifikáty pre hlásenú testovaciu platformu a zatiaľ čo ešte nemáme nájsť dôkazy o tom, že by nastal akýkoľvek externý prístup, v súčasnosti to skúmame ďalej.
Podľa Husajna trvala až do 30. apríla, keď boli súkromné kľúče GitLab odvolané, a cituje sa vraj: „Nevidel som spoločnosť, ktorá tak veľkú manipuláciu s ich infraštruktúrou využíva takými čudnými praktikami.“ Keď spoločnosť TechCrunch položila konkrétne otázky o incidente alebo na dôkaz, že to bolo len pre testovacie prostredie, spoločnosť Samsung odmietla.
Toto je len ďalší príklad toho, ako sa v súčasnosti tieto bezpečnostné postupy stávajú čoraz dôležitejšími, pretože technológia sa dostáva do všetkých aspektov nášho života.
Hands-on Google Nest Hub Max: Skvelé všetko v jednom pre váš inteligentný domov
Môžeme získať províziu za nákupy pomocou našich odkazov. Uč sa viac.
