Samsung bir qator xizmatlar uchun manba kodlari va maxfiy kalitlarni oshkor qildi.
Kompaniya o’zining ichki o’nlab loyihalarini GitLabdagi omborga parol himoyasini yetarli darajada ta’minlamasdan joylashtirdi.
Samsung muhandislari texnologiya giganti loyihalaridan bir nechtasining manba kodlari, maxfiy kalitlari va kirish ma’lumotlarini oshkor qilishdi, jumladan SmartThings aqlli uy boshqaruv platformasi. Ushbu ma’lumotlar oqishi SpiderSilk kiberxavfsizlik mutaxassisi Mossab Husayn tomonidan aniqlangan. Unga ko’ra, Samsung o’nlab ichki loyihalarini parol bilan yetarlicha himoyalanmagan GitLab omboriga joylashtirgan. Natijada, istalgan kishi loyihalarga va manba kodlariga kirish imkoniga ega bo’lgan.
Bir holatda loyiha butun AWS hisobiga, jumladan log va tahliliy ma’lumotlarni o’z ichiga olgan yuzdan ortiq S3 baklariga kirish uchun kredensiallarni o’z ichiga olgan.
Husseinning aytishicha, bir qator Samsung xodimlari shaxsiy ruxsat berish tokenlarini shifrlanmagan holda saqlashgan, bu esa unga nafaqat SmartThings va Bixby xizmatlarining loglari va tahliliy ma’lumotlariga, balki xususiy loyihalar hamda o’nlab boshqa loyihalarga ham kirish imkonini bergan.
Tadqiqotchi 10 aprel kuni Samsungga ma’lumotlar oqishi haqida xabar berdi. Texnologiya giganti vakillari TechCrunchga ularning barcha maxfiy kalitlari va sertifikatlari allaqachon bekor qilinganini tasdiqladilar. Kompaniya hozirda kimdir bu ma’lumotlar oqishidan foydalana olgan-yo’qligini tekshirmoqda.
