A Samsung teria vazado código fonte, credenciais e chaves secretas para vários projetos internos. De acordo com o TechCrunch, o pesquisador de segurança independente Mossab Hussein descobriu dezenas de arquivos expostos em um GitLab usado por engenheiros da Samsung e hospedado em um domínio de propriedade da empresa. Os projetos foram declarados como "públicos" e não protegidos com uma senha.
Os arquivos expostos continham código-fonte para projetos como a plataforma SmartThings da Samsung e serviços Bixby . Eles também continham credenciais que forneciam acesso à conta do Amazon Web Service que estava sendo usada, bem como tokens GitLab de vários funcionários, que forneciam acesso adicional.
Um porta-voz da Samsung disse ao TechCrunch que a empresa "revogou rapidamente" todas as chaves e certificados da plataforma, supostamente usados para testes. Mas Hussein disse que alertou a Samsung em 10 de abril ea empresa não revogou as chaves do GitLab até 30 de abril. "A verdadeira ameaça está na possibilidade de alguém adquirir esse nível de acesso ao código-fonte do aplicativo e injetá-lo com códigos maliciosos". código sem que a empresa saiba ", disse ele ao TechCrunch .
Para o conhecimento da Samsung, os arquivos expostos não foram adulterados. Mas para qualquer empresa, especialmente uma dessa escala, um vazamento como esse poderia ser desastroso. Também deve ser evitável.
Fonte: Engadget
Nenhum comentário:
Postar um comentário