三星绝密信息泄露 任何人都可深入查看项目进展

5月9日讯,据techcrunch报道,迪拜网络安全公司SpiderSilk的安全研究员莫萨布·侯赛因(Mossab Hussein)最近发现,三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥,其中包SmartThings平台项目。

  原标题:三星多个内部项目敏感源代码泄露

  品玩5月9日讯,据techcrunch报道,迪拜网络安全公司SpiderSilk的安全研究员莫萨布·侯赛因(Mossab Hussein)最近发现,三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥,其中包括其SmartThings平台项目。

  三星将几十个内部编码项目留在了三星旗下实验室Vandev Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目,并为其贡献代码。由于这些项目被设置为“公共”,而且没有用密码进行适当的保护,因此任何人都可以深入查看每个项目的进展,访问和下载源代码,从而导致绝密信息泄露。

  其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户,里面包括100多个S3存储桶,其中包含日志和分析数据。许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,但也有几名员工公开的、以明文形式存储的私有GitLab令牌,这使得侯赛因能够利用42个公共项目获得的信息对另外135个项目进行访问,包括许多私人项目。

  三星发言人扎克·杜根(Zach Dugan)表示:“最近,一位个人安全研究员报告说,我们一个测试平台的安全奖励计划存在漏洞。我们迅速撤销了其报告测试平台的所有密钥和凭证,虽然我们尚未找到任何外部访问的证据,但我们目前正在对此进行进一步调查。”

  侯赛因称,三星的数据泄露是他迄今最大的发现。他说:“我还没有见过这么大的一家公司使用这种奇怪的做法来处理他们的基础设施。”

责任编辑:郭梦桐
免责声明:齐鲁财富网发布文章来源于互联网或部分原创,文中陈述文字和内容未经本网证实,并不代表本网站立场,也不对任何第三方构成投资建议。本网站所发布文章仅代表作者个人观点,版权归原作者所有,如有侵权或违规请及时联系我们,我们将竭诚配合删除。邮箱:2500210576@qq.com 联系电话:0531-55562781。
加入收藏
新浪微博腾讯微博
齐鲁财富网
齐鲁财富网移动客户端

IOS android  
微信 手机客户端 手机浏览器

二维码