5月9日訊,據(jù)techcrunch報(bào)道,迪拜網(wǎng)絡(luò)安全公司SpiderSilk的安全研究員莫薩布·侯賽因(Mossab Hussein)最近發(fā)現(xiàn),三星工程師使用的某開發(fā)實(shí)驗(yàn)室泄露了其多個(gè)內(nèi)部項(xiàng)目的高度敏感源代碼、憑證和密鑰,其中包括其SmartThings平臺(tái)項(xiàng)目。
三星將幾十個(gè)內(nèi)部編碼項(xiàng)目留在了三星旗下實(shí)驗(yàn)室Vandev Lab上的GitLab實(shí)例中。這個(gè)實(shí)例被工作人員用來共享三星的各種應(yīng)用、服務(wù)和項(xiàng)目,并為其貢獻(xiàn)代碼。由于這些項(xiàng)目被設(shè)置為“公共”,而且沒有用密碼進(jìn)行適當(dāng)?shù)谋Wo(hù),因此任何人都可以深入查看每個(gè)項(xiàng)目的進(jìn)展,訪問和下載源代碼,從而導(dǎo)致絕密信息泄露。
其中一個(gè)項(xiàng)目包含的憑證允許任何人訪問三星工程師正在使用的完整AWS帳戶,里面包括100多個(gè)S3存儲(chǔ)桶,其中包含日志和分析數(shù)據(jù)。許多文件夾包含三星SmartThings和Bixby服務(wù)的日志和分析數(shù)據(jù),但也有幾名員工公開的、以明文形式存儲(chǔ)的私有GitLab令牌,這使得侯賽因能夠利用42個(gè)公共項(xiàng)目獲得的信息對(duì)另外135個(gè)項(xiàng)目進(jìn)行訪問,包括許多私人項(xiàng)目。
三星發(fā)言人扎克·杜根(Zach Dugan)表示:“最近,一位個(gè)人安全研究員報(bào)告說,我們一個(gè)測(cè)試平臺(tái)的安全獎(jiǎng)勵(lì)計(jì)劃存在漏洞。我們迅速撤銷了其報(bào)告測(cè)試平臺(tái)的所有密鑰和憑證,雖然我們尚未找到任何外部訪問的證據(jù),但我們目前正在對(duì)此進(jìn)行進(jìn)一步調(diào)查。”
侯賽因稱,三星的數(shù)據(jù)泄露是他迄今最大的發(fā)現(xiàn)。他說:“我還沒有見過這么大的一家公司使用這種奇怪的做法來處理他們的基礎(chǔ)設(shè)施。”