Prošlog mjeseca otkriveno je da primjerak GitLab za Vandev Lab, čiji je vlasnik Samsung, nije osigurao zaporku svoje projekte. Kao takvi, deseci projekata internog kodiranja za razne Samsungove aplikacije, usluge i projekte postavljeni su u javnost, što je zauzvrat omogućilo daljnji pristup Samsungovim projektima, uključujući i njegov popularni ekosustav pametne kuće SmartThings.
Bez odgovarajućeg osiguravanja projekata lozinkom, svima je dala mogućnost da pogledaju izvorni kod, preuzmu ga ili čak naprave promjene.
Istraživač sigurnosti iz SpiderSilka po imenu Mossab Hussein otkrio je zastoj u sigurnosti 10. travnja i prijavio ga Samsungu. U svojim je nalazima imao pristup cijelom AWS računu, uključujući preko stotinu spremnika S3 koji sadrže zapisnike i analitičke podatke.
Dnevnici i analitika pokrivali su Samsungove proizvode kao što su SmartThings i Bixby usluge, kao i nekoliko privatnih tokena GitLab zaposlenika u običnom tekstu. Pomoću ovih tokena Hussein je mogao pristupiti između 45 i 135 javnih i privatnih projekata.
Kad je kontaktirao Samsung, Husseinu su rekli da su neke datoteke testirane, ali brzo je istakao izvorni kôd za trenutnu verziju Android SmartThings aplikacije. Međutim, aplikacija je ažurirana nakon njihovog razgovora.
Najopasniji dio ovog pristupa je da je Hussein pomoću žetona GitLab mogao donijeti izmjene u Samsungov kod. Izjavio je:
Stvarna prijetnja leži u mogućnosti da netko stekne ovu razinu pristupa izvornom kodu aplikacije i ubrizgava ga zlonamjernim kodom a da tvrtka to ne zna.
Akreditacije AWS opozvane su nekoliko dana nakon što je Hussein kontaktirao Samsung, ali nije provjereno jesu li tajni ključevi i potvrde bili podvrgnuti sličnom tretmanu. Kao i sada, Samsung još uvijek nije zaključio izvještaj o ugroženosti gotovo mjesec dana nakon što je prvi put prijavljen. No, na upit za komentar Zach Dugan, glasnogovornik Samsung odgovorio je:
Brzo smo opozvali sve ključeve i certifikate za prijavljenu platformu za testiranje i iako još nismo pronašli dokaze da se dogodio bilo kakav vanjski pristup, to trenutno istražujemo dalje.
Prema Husseinu, trebalo je do 30. travnja da se povuku privatni ključevi GitLaba, a on je citiran kako kaže: "Nisam vidio da ovoliko velika tvrtka upravlja njihovom infrastrukturom koristeći tako čudne prakse." Kad je TechCrunch postavio konkretna pitanja o incidentu, ili kao dokaz da je riječ samo o testiranju okruženja, Samsung je odbio.
Ovo je samo još jedan primjer kako pravilne sigurnosne prakse postaju sve važnije ovih dana jer tehnologija pronalazi svoj put u svaki aspekt našeg života.
Usluga Google Nest Hub Max: izvrstan sve-u-jednom za vaš pametni dom
Možda ćemo zaraditi proviziju za kupovinu pomoću naših veza. Saznajte više.
