Пропало все. У Samsung викрали вихідний код майбутніх розробок

11 травня 2019, 11:04
Вы также можете прочесть этот материал на русском языке

Лабораторія розробки Samsung випадково відкрила доступ до вихідного коду, облікових даних і секретних ключів для кількох внутрішніх проектів, включаючи SmartThings.

Електронний гігант залишив десятки проектів внутрішнього кодування на GitLab з позначкою "загальнодоступні", пише TechCrunch.

Сервіс, який використовувався співробітниками для обміну і додавання коду в різні додатки, сервіси та проекти Samsung, передавав дані, тому що проекти не були належним чином захищені паролем, що дозволяло будь-кому заглянути всередину кожного проекту, отримати доступ і завантажити вихідний код.

Відео дня

Моссаб Хусейн, дослідник безпеки в дубайській фірмі SpiderSilk, який знайшов відкриті файли, сказав, що один проект містив облікові дані, які дозволяли отримати доступ до всього використовуваного облікового запису AWS, включаючи більше  ніж 100 сховищ S3, які містили журнали та аналітичні дані.

За його словами, багато з папок містили журнали та аналітичні дані для сервісів Samsung SmartThings і Bixby, а також відкриті особисті маркери GitLab декількох співробітників, що зберігаються у вигляді відкритого тексту, що дозволило йому отримати додатковий доступ з 42 загальнодоступних проектів до ще 135 проектів.

Представники Samsung запевняють, що деякі файли призначені для тестування, але Хусейн оспорив твердження, заявивши, що вихідний код, знайдений в репозиторії GitLab, містить той же код, що і Android додаток, опублікований в Google Play 10 квітня.

Додаток, який з тих пір було оновлено, на сьогодні має понад 100 мільйонів установок.

"У мене був особистий токен користувача, який мав повний доступ до всіх 135 проектів на цьому GitLab", - сказав Моссаб Хусейн, додавши, що це могло дозволити йому вносити зміни в код, використовуючи власний обліковий запис співробітника.

"Справжня загроза полягає в тому, що хтось може отримати цей рівень доступу до вихідного коду програми та впровадити в нього шкідливий код без відома компанії", - сказав він.

Samsung підтвердила знайдену уразливість і вже вжила заходів для її усунення. Проте, через майже місяць після того, як Моссаб Хусейн вперше розкрив проблему, розслідування досі не завершено.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X