5月9日訊,據(jù)techcrunch報道,迪拜網(wǎng)絡安全公司SpiderSilk的安全研究員莫薩布·侯賽因(Mossab Hussein)最近發(fā)現(xiàn),三星工程師使用的某開發(fā)實驗室泄露了其多個內部項目的高度敏感源代碼、憑證和密鑰,其中包括其SmartThings平臺項目。
三星將幾十個內部編碼項目留在了三星旗下實驗室Vandev Lab上的GitLab實例中。這個實例被工作人員用來共享三星的各種應用、服務和項目,并為其貢獻代碼。由于這些項目被設置為“公共”,而且沒有用密碼進行適當?shù)谋Wo,因此任何人都可以深入查看每個項目的進展,訪問和下載源代碼,從而導致絕密信息泄露。
其中一個項目包含的憑證允許任何人訪問三星工程師正在使用的完整AWS帳戶,里面包括100多個S3存儲桶,其中包含日志和分析數(shù)據(jù)。許多文件夾包含三星SmartThings和Bixby服務的日志和分析數(shù)據(jù),但也有幾名員工公開的、以明文形式存儲的私有GitLab令牌,這使得侯賽因能夠利用42個公共項目獲得的信息對另外135個項目進行訪問,包括許多私人項目。
三星發(fā)言人扎克·杜根(Zach Dugan)表示:“最近,一位個人安全研究員報告說,我們一個測試平臺的安全獎勵計劃存在漏洞。我們迅速撤銷了其報告測試平臺的所有密鑰和憑證,雖然我們尚未找到任何外部訪問的證據(jù),但我們目前正在對此進行進一步調查。”
侯賽因稱,三星的數(shù)據(jù)泄露是他迄今最大的發(fā)現(xiàn)。他說:“我還沒有見過這么大的一家公司使用這種奇怪的做法來處理他們的基礎設施。”
