W ubiegłym miesiącu odkryto, że instancja GitLab dla Vandev Lab, która jest własnością Samsunga, nie zabezpieczyła swoich projektów hasłem. W związku z tym dziesiątki wewnętrznych projektów kodowania dla różnych aplikacji, usług i projektów Samsunga zostały upublicznione, co z kolei zapewniło dalszy dostęp do projektów Samsunga, w tym popularnego ekosystemu inteligentnych domów SmartThings.
Bez odpowiedniego zabezpieczenia projektów hasłem dało to każdemu możliwość przeglądania kodu źródłowego, pobierania go, a nawet wprowadzania zmian.
Badacz bezpieczeństwa SpiderSilk o imieniu Mossab Hussein odkrył brak bezpieczeństwa 10 kwietnia i zgłosił go Samsungowi. Według jego ustaleń miał dostęp do całego konta AWS, w tym ponad stu wiader S3 zawierających dzienniki i dane analityczne.
Dzienniki i analizy obejmowały produkty Samsung, takie jak usługi SmartThings i Bixby, a także prywatne tokeny GitLab kilku pracowników w postaci zwykłego tekstu. Dzięki tym tokenom Hussein miał dostęp do 45–135 projektów publicznych i prywatnych.
Kiedy skontaktował się z Samsungiem, Husseinowi powiedziano, że niektóre pliki są przeznaczone do testowania, ale szybko wskazał kod źródłowy obecnej wersji aplikacji Android SmartThings. Aplikacja została jednak zaktualizowana od czasu ich rozmowy.
Najbardziej niebezpieczną częścią tego dostępu jest to, że dzięki tokenom GitLab Hussein mógł wprowadzić zmiany w kodzie Samsunga. Stwierdził:
Prawdziwe zagrożenie polega na możliwości uzyskania przez kogoś takiego poziomu dostępu do kodu źródłowego aplikacji i wstrzyknięcia go złośliwym kodem bez wiedzy firmy.
Poświadczenia AWS zostały cofnięte kilka dni po tym, jak Hussein skontaktował się z Samsungiem, ale nie zostało zweryfikowane, czy tajne klucze i certyfikaty zostały potraktowane podobnie. W tej chwili Samsung nadal nie zamknął raportu o podatności prawie miesiąc po jego pierwszym zgłoszeniu. Jednak poproszony o komentarz Zach Dugan, rzecznik Samsunga, odpowiedział:
Szybko cofnęliśmy wszystkie klucze i certyfikaty dla zgłoszonej platformy testowej i chociaż wciąż nie znaleźliśmy dowodów na to, że nastąpił jakikolwiek dostęp zewnętrzny, obecnie badamy to dalej.
Według Husseina odwołanie kluczy prywatnych GitLab zajęło do 30 kwietnia, a cytowany cytat mówi: „Nie widziałem, żeby firma tak duża zarządzała infrastrukturą przy użyciu takich dziwnych praktyk”. Kiedy TechCrunch zadał konkretne pytania na temat incydentu lub na dowód, że dotyczyło to tylko środowisk testowych, Samsung odmówił.
To tylko kolejny przykład tego, jak właściwe praktyki bezpieczeństwa stają się coraz ważniejsze w dzisiejszych czasach, gdy technologia wkracza w każdy aspekt naszego życia.
Google Nest Hub Max: praktyczne urządzenie wielofunkcyjne dla inteligentnego domu
Możemy otrzymać prowizję za zakupy za pomocą naszych linków. Ucz się więcej.
