Noong nakaraang buwan, natuklasan na ang isang halimbawa ng GitLab para sa Vandev Lab, na pag-aari ng Samsung, ay hindi nakuha ang mga proyekto nito gamit ang isang password. Tulad nito, dose-dosenang mga panloob na mga proyekto sa pag-coding para sa iba't ibang mga Samsung apps, serbisyo, at mga proyekto ay naitakda sa publiko, na kung saan naman ay nagbigay ng karagdagang pag-access sa mga proyekto ng Samsung, kabilang ang sikat na smart home ecosystem SmartThings.
Nang walang maayos na pag-secure ng mga proyekto gamit ang isang password, binigyan nito ang sinuman na tingnan ang source code, i-download ito, o kahit na gumawa ng mga pagbabago.
Ang isang security researcher mula sa SpiderSilk na nagngangalang Mossab Hussein ay walang takip ang kaligtasan sa seguridad noong Abril 10 at iniulat ito sa Samsung. Sa kanyang mga natuklasan, nagkaroon siya ng access sa buong AWS account kasama na ang higit sa isang daang S3 imbakan ng mga balde na naglalaman ng mga log at analytical data.
Ang mga log at analytics ay sumasakop sa mga produktong Samsung tulad ng mga serbisyo ng SmartThings at Bixby, pati na rin ang pribadong mga token ng GitLab ng mga empleyado sa payak na teksto. Sa pamamagitan ng paggamit ng mga token na ito, nagawang ma-access ni Hussein sa pagitan ng 45 at 135 mga pampubliko at pribadong proyekto.
Nang makipag-ugnay siya sa Samsung, sinabi ni Hussein ang ilan sa mga file ay para sa pagsubok, ngunit mabilis niyang itinuro ang source code para sa kasalukuyang bersyon ng Android SmartThings app. Ang app ay na-update mula noong kanilang pag-uusap, gayunpaman.
Ang pinaka-mapanganib na bahagi ng pag-access na ito ay, kasama ang mga token ng GitLab, si Hussein ay maaaring gumawa ng mga pagbabago sa code ng Samsung. Sinabi niya:
Ang tunay na banta ay nakasalalay sa posibilidad ng isang nakakakuha ng antas na ito ng pag-access sa code ng mapagkukunan ng aplikasyon, at pag-iniksyon nito ng nakakahamak na code nang walang alam ang kumpanya.
Ang mga kredensyal ng AWS ay binawi ng ilang araw matapos makipag-ugnay kay Hussein sa Samsung, ngunit hindi ito napatunayan kung ang mga lihim na mga susi at sertipiko ay nakatanggap ng katulad na paggamot. Tulad ng ngayon, hindi pa rin isinara ng Samsung ang ulat ng kahinaan sa halos isang buwan matapos itong naiulat. Gayunpaman, kapag tinanong para sa isang puna, sumagot si Zach Dugan, isang tagapagsalita ng Samsung:
Mabilis naming tinanggal ang lahat ng mga susi at sertipiko para sa naiulat na platform ng pagsubok at habang wala pa kaming makahanap ng katibayan na nangyari ang anumang panlabas na pag-access, kami ay kasalukuyang iniimbestigahan pa.
Ayon kay Hussein, tumagal hanggang Abril 30 para maalis ang mga pribadong susi ng GitLab, at sinipi siya na nagsasabing, "Hindi ko pa nakita ang isang kumpanya na malaki ang humawak sa kanilang imprastraktura gamit ang mga kakatwang kasanayan na tulad nito." Nang tinanong ng TechCrunch ang mga tiyak na katanungan tungkol sa insidente, o para sa patunay na ito ay para lamang sa mga pagsubok sa mga kapaligiran, tumanggi ang Samsung.
Ito ay isa pang halimbawa ng kung paano ang mga tamang kasanayan sa seguridad ay nagiging mas at mas mahalaga sa mga araw na ito dahil natagpuan ng teknolohiya ang bawat paraan ng ating buhay.
Ang Google Nest Hub Max hands-on: Isang mahusay na lahat para sa iyong matalinong tahanan
Maaari kaming kumita ng komisyon para sa mga pagbili gamit ang aming mga link. Dagdagan ang nalalaman.
