Τον περασμένο μήνα, ανακαλύφθηκε ότι μια παρουσία του GitLab για την Vandev Lab, η οποία ανήκει στη Samsung, δεν είχε εξασφαλίσει τα έργα της με κωδικό πρόσβασης. Έτσι, δεκάδες εσωτερικά προγράμματα κωδικοποίησης για διάφορες εφαρμογές, υπηρεσίες και έργα της Samsung τέθηκαν στο κοινό, γεγονός που με τη σειρά τους παρείχε περαιτέρω πρόσβαση σε έργα της Samsung, συμπεριλαμβανομένου του δημοφιλούς έξυπνου οικιακού οικοσυστήματος SmartThings.
Χωρίς τη σωστή διασφάλιση των έργων με κωδικό πρόσβασης, έδωσε σε οποιονδήποτε τη δυνατότητα να προβάλει τον πηγαίο κώδικα, να το κατεβάσει ή ακόμα και να κάνει αλλαγές.
Ένας ερευνητής ασφάλειας από την SpiderSilk που ονομάζεται Mossab Hussein αποκάλυψε την αποτυχία στην ασφάλεια στις 10 Απριλίου και το ανέφερε στη Samsung. Στα συμπεράσματά του, είχε πρόσβαση σε ολόκληρο το λογαριασμό AWS, συμπεριλαμβανομένων πάνω από εκατό κουβάδες αποθήκευσης S3 που περιέχουν αρχεία καταγραφής και αναλυτικά δεδομένα.
Τα αρχεία καταγραφής και τα αναλυτικά στοιχεία κάλυψαν προϊόντα της Samsung όπως οι υπηρεσίες SmartThings και Bixby, καθώς και ιδιωτικά GitLab μάρκες πολλών εργαζομένων σε απλό κείμενο. Με τη χρήση αυτών των μαρκών, ο Χουσεΐν διέθετε πρόσβαση σε 45 έως 135 δημόσια και ιδιωτικά έργα.
Όταν ήρθε σε επαφή με τη Samsung, ο Hussein είπε ότι ορισμένα από τα αρχεία ήταν για δοκιμή, αλλά ήταν γρήγορος να επισημάνει ότι ο πηγαίος κώδικας για την τρέχουσα έκδοση της εφαρμογής Android SmartThings ήταν παρών. Ωστόσο, η εφαρμογή έχει ενημερωθεί από τη συνομιλία της.
Το πιο επικίνδυνο μέρος αυτής της πρόσβασης είναι ότι, με τα μάρκες GitLab, ο Hussein θα μπορούσε να κάνει αλλαγές στον κώδικα της Samsung. Δήλωσε:
Η πραγματική απειλή έγκειται στο ενδεχόμενο κάποιος να αποκτήσει αυτό το επίπεδο πρόσβασης στον πηγαίο κώδικα της εφαρμογής και να το ενεθεί με κακόβουλο κώδικα χωρίς να γνωρίζει η εταιρεία.
Τα διαπιστευτήρια AWS ανακλήθηκαν λίγες μέρες μετά την επικοινωνία του Hussein με τη Samsung, αλλά δεν έχει εξακριβωθεί εάν τα μυστικά κλειδιά και τα πιστοποιητικά έχουν λάβει παρόμοια επεξεργασία. Όπως συμβαίνει τώρα, η Samsung εξακολουθεί να μην έχει κλείσει την έκθεση ευπάθειας σχεδόν ένα μήνα μετά την πρώτη αναφορά της. Ωστόσο, όταν ρωτήθηκε για ένα σχόλιο, ο Zach Dugan, ένας εκπρόσωπος της Samsung απάντησε:
Ανακαλέσαμε γρήγορα όλα τα κλειδιά και τα πιστοποιητικά για την εξεταζόμενη πλατφόρμα δοκιμών και ενώ δεν έχουμε ακόμη βρει στοιχεία που να αποδεικνύουν ότι προέκυψε εξωτερική πρόσβαση, διερευνούμε αυτήν την εξέλιξη.
Σύμφωνα με τον Χουσεΐν, χρειάστηκε μέχρι τις 30 Απριλίου να ανακληθούν τα ιδιωτικά κλειδιά του GitLab και αναφέρθηκε στον τίτλο: "Δεν έχω δει μια εταιρεία που να χειρίζεται την υποδομή της με τέτοιες περίεργες πρακτικές". Όταν η TechCrunch ρώτησε συγκεκριμένες ερωτήσεις σχετικά με το περιστατικό ή για την απόδειξη ότι ήταν μόνο για περιβάλλοντα δοκιμών, η Samsung αρνήθηκε.
Αυτό είναι ένα ακόμη παράδειγμα του πώς οι ορθές πρακτικές ασφαλείας γίνονται ολοένα και πιο σημαντικές αυτές τις μέρες καθώς η τεχνολογία βρίσκει το δρόμο της σε κάθε πτυχή της ζωής μας.
Το Google Nest Hub Max hands-on: Ένα μεγάλο all-in-one για το έξυπνο σπίτι σας
Μπορούμε να κερδίσουμε προμήθεια για αγορές χρησιμοποιώντας τους συνδέσμους μας. Μάθε περισσότερα.
