ASUS bir necha oy oldin xavfli parol amaliyotlari haqida ogohlantirgan edi.
ASUS muhandislari GitHub’da parol xavfsizligi haqida qayg‘urmaydilar.
ASUS xodimlari o’zlarining GitHub akkauntlari uchun ma’lumotlarni oshkor qilishmoqda, bu ma’lumotlardan Tayvanlik ishlab chiqaruvchining ichki tizimlariga kirish uchun foydalanish mumkin. Muammoni SchizoDuckie taxallusidan foydalangan xavfsizlik bo’yicha tadqiqotchi aniqladi, deb xabar beradi TechCrunch. Masalan, ASUS muhandisining omborida tadqiqotchi tungi versiyalarni ichki avtomatlashtirilgan tarqatish uchun ishlatiladigan elektron pochta akkauntining parolini topdi. SchizoDuckie ma’lumotlariga ko’ra, elektron pochta xabarlarida drayverlar va fayllarning joylashuvi haqida ma’lumotlar mavjud edi. Tadqiqotchi akkaunt tomonidan berilgan kirish doirasini tekshirmadi, ammo ichki tarmoqqa kirish juda oson ekanligini ta’kidladi.
«Siz shunchaki ushbu elektron pochta xabarlaridan biriga ilova ilova qilishingiz va uni istalgan xodimga yuborishingiz, shu bilan kerakli ma’lumotlarni olishingiz kerak», deb ta’kidladi u.
SchizoDuckie ASUSga korporativ login ma’lumotlari sizib chiqqani haqida xabar berdi va kompaniya olti kundan keyin muammoni hal qildi. Biroq, bir nechta muhandis parollarni sizdirayotgani ma’lum bo’ldi. Mutaxassis yana kamida ikkita shunga o’xshash holatni aniqladi – ishlab chiquvchilar o’zlarining GitHub sahifalarida login va parollarni kod shaklida qoldirgan.
ASUS bu muammo haqida yana xabardor qilindi va bir kundan keyin ma’lumotlarni o’z omborlaridan olib tashladi. Kompaniya «tadqiqotchining da’volarini tekshira olmaganliklarini», ammo barcha tizimlarni potentsial xavflar va ma’lumotlar oqishini tekshirish uchun faol ravishda tekshirayotganliklarini aytdi. ASUS GitHub omborlarida ma’lumotlarni oqib o’tgan yagona kompaniya emas. Ilgari tadqiqotchilar kriptografik kalitlar va boshqa maxfiy ma’lumotlarni fosh qilgan 100 000 dan ortiq omborlarni aniqlagan edilar.
Bu hodisa tajovuzkorlar ASUS Live Update yordam dasturiga orqa eshikni kiritgan zararli dasturiy ta’minot kampaniyasi bilan bog’liq emas, ammo u kiberjinoyatchilar tomonidan ishlatilishi mumkin bo’lgan xavfsizlik kamchiliklarini aniq ko’rsatib beradi.
