5月9日消息,据外媒报道,迪拜网络安全公司Spi旺旺棋牌网址derSilk的安全研旺旺棋牌网址究员莫萨布侯赛因(Mossab Hussein)最近发现,三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥,其中包括其SmartThings平台项目。

  这家电子巨头将几十个内部编码项目留在了三星旗下实验室Vandev旺旺棋牌网址 Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目,并为其贡献代码。由于这些项目被设置为公共,而且没有用密码进行适当的保护,因此任何人都可以深入查看每个项目的进展,访问和下载源代码,从而导致绝密信息泄露。

  侯赛因表示,其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户,里面包括100多个S3存储桶,其中包含日志和分析数据。

  此外,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,但也有几名员工公开的、以明文形式存储的私有GitLab令牌,这使得侯赛因能够利用42个公共项目获得的信息对另外135个项目进行访问,包括许多私人项目。

  三星宣称,其中一些文件是用于测试的,但侯赛因对这一说法提出质疑,称在GitLab存储库中发现的源代码与4月10日在谷歌应用店Google Play上发布的安卓(Android)应用程序包含的代码相同。

  这个应用程序已经更新过,到目前为止已经安装了1亿多次。侯赛因称:我有一个用户的私密令牌,完全可以访问GitLab上所有的135个项目。这可能允许他使用工作人员的帐户进行代码更改。

  侯赛因还分享了几张其相关发现的截图和一段视频,供人们检查和验证。公开的GitLab实例还包含三星SmartThings的iOS和安卓应用程序的私有证书。

  侯赛因还在泄露文件中发现了几份内部文件和幻灯片。他说:真正的威胁在于有人可能获得对应用程序源代码这种高级别的访问,并在公司不知情的情况下向其注入恶意代码。

  侯赛因还称,通过公开的密匙和令牌,他记录了大量的访问权限,如果被恶意行为者获得,可能会导致灾难性后果。

  被泄露AWS凭证的屏幕截图,它允许使用GitLab私有令牌访旺旺棋牌网址问存储桶

  侯赛因是一名白帽黑客和数据泄露发现者,他于4月10日向三星报告了自己的发现。在接下来的几天里,三星开始撤销AWS凭证,但尚不清楚其余的密钥和凭证是否被吊销。

  在侯赛因首次披露这个问题近一个月后,三星仍未了结侯赛因的漏洞报告。

  三星发言人扎克杜根(Zach Dugan)表示:最近,一位个人安全研究员报告说,我们一个测试平台的安全奖励计划存在漏洞。我们迅速撤销了其报告测试平台的所有密钥和凭证,虽然我们尚未找到任何外部访问的证据,但我们目前正在对此进行进一步调查。

(责任编辑:旺旺棋牌网址)

本文地址:http://www.plm-racing.com/hangban/2020/0911/489.html

上一篇:苹果9月会发布什么?除了三款iPhone还有一大堆产品 下一篇:不放弃高端市场 联发科称未来仍会持续发展Helio X系列芯片

发表评论

您的电子邮件地址不会被公开。必填字段已标记*