Stručnjak za bezbednost Mossab Hussein otkrio je veći broj izvornih kodova Samsung-ovih projekata na GitLab-u, a za pristup njima nije bilo potrebno upisivati password, jer je nekome od zaposlenih verovatno išlo na živce što svaki puta kada nešto radi mora da upisuje lozinku, pa je "ostavio vrata otvorena", što je omogućilo bilo kome da ulazi u projekte, preuzme izvorni kod, ili ga čak menja.
Na taj način izložen je izvorni kod brojnih Samsung-ovih projekata, među kojima su Bixby i SmartThings.
Hussein je nakon ulaska u nezaštićene projekte uspeo da dođe do privatnih GitLab tokena uskladištenih u plain tekstu i potom otvarati nova "vrata". Jedan od tokena mu je omogućio pristup u više od 135 projekata, među koji je većina bila privatna.
Osim što su na ovaj način mogli biti pokradeni izvorni kodovi, dodatna opasnost je u tome što je neko mogao u aplikacije direktno ubaciti maliciozni softver.
Da bi stvar bila još gora, SpiderSilk je o ovome izvestio Samsung 10. aprila, ali kompanija mu se nije javila punih 20 dana, što znači da se mogla dogoditi nesaglediva šteta. Samsung tvrdi da je njegova istraga pokazala da ne postoje nikakvi dokazi o neovlašćenom pristupu.
Izvor ITvesti
0 comments:
Постави коментар