Bulan lalu, didapati bahawa contoh GitLab untuk Vandev Lab, yang dimiliki oleh Samsung, belum mendapat projek dengan kata laluan. Oleh itu, berpuluh-puluh projek pengekodan dalaman untuk pelbagai aplikasi, perkhidmatan dan projek Samsung telah ditetapkan kepada orang ramai, yang seterusnya menyediakan akses lanjut ke projek Samsung, termasuk SmartThings ekosistem rumah pintar yang popular.
Tanpa mengamankan projek dengan kata laluan, ia memberikan sesiapa sahaja keupayaan untuk melihat kod sumber, memuat turunnya, atau membuat perubahan.
Seorang penyelidik keselamatan dari SpiderSilk yang bernama Mossab Hussein mengungkap kekurangannya pada 10 April lalu dan melaporkannya kepada Samsung. Dalam penemuannya, dia mempunyai akses ke seluruh akaun AWS termasuk lebih dari seratus baldi penyimpanan S3 yang mengandungi balak dan data analitik.
Log dan analisis meliputi produk Samsung seperti perkhidmatan SmartThings dan Bixby, serta beberapa token GitLab peribadi pekerja dalam teks biasa. Dengan menggunakan token ini, Hussein dapat mengakses antara 45 dan 135 projek awam dan swasta.
Apabila dia menghubungi Samsung, Hussein diberitahu beberapa fail itu untuk ujian, tetapi dia cepat menunjukkan kod sumber untuk versi Android Android SmartThings yang hadir. Walau bagaimanapun, aplikasi telah dikemas kini sejak perbualan mereka.
Bahagian yang paling berbahaya dari akses ini ialah, dengan token GitLab, Hussein boleh membuat perubahan pada kod Samsung. Beliau menyatakan:
Ancaman sebenar terletak pada kemungkinan seseorang memperoleh tahap ini akses ke kod sumber aplikasi, dan menyuntikinya dengan kod jahat tanpa diketahui oleh syarikat.
Kredensial AWS telah dibatalkan beberapa hari selepas Hussein menghubungi Samsung, tetapi belum disahkan jika kunci rahsia dan sijil menerima rawatan serupa. Seperti sekarang, Samsung masih belum menutup laporan kerentanan hampir sebulan selepas ia mula dilaporkan. Walau bagaimanapun, apabila diminta mengulas, Zach Dugan, jurucakap Samsung menjawab:
Kami dengan cepat membatalkan semua kunci dan sijil untuk platform ujian yang dilaporkan dan sementara kami masih belum menemui bukti bahawa sebarang akses luar berlaku, kami sedang menyiasat lagi.
Menurut Hussein, ia mengambil masa sehingga 30 April untuk kunci peribadi GitLab dibatalkan, dan dia dipetik berkata, "Saya tidak melihat sebuah syarikat yang mengendalikan infrastruktur ini menggunakan amalan aneh seperti itu." Apabila TechCrunch menanyakan soalan khusus mengenai kejadian itu, atau untuk bukti ia hanya untuk persekitaran ujian, Samsung menurun.
Ini adalah satu lagi contoh bagaimana amalan keselamatan yang betul menjadi lebih penting dan lebih penting pada hari ini kerana teknologi menjejaskan setiap aspek kehidupan kita.
Hands-on Max Hub Google Nest: Yang paling all-in-one untuk rumah pintar anda
Kami boleh mendapatkan komisen untuk pembelian menggunakan pautan kami. Ketahui lebih lanjut.
