- A+
所属分类:未分类
Web应用程序安全课程专家表示, GitLab已经过多地向公众公开了大量的机密信息; 据专家介绍,受损信息包括几个私人项目的源代码,访问凭证和机密密钥。 三星人员使用其中一个受到攻击的实现来处理该公司某些项目的代码,例如Samsung SmartThings。
在Web应用程序安全课程专家的调查之后,由于错误的安全配置(他们没有密码保护),在GitLab中发现了数十个三星内部编码项目。
这意味着任何人都可以访问它们,甚至可以下载SmartThings的源代码,这是三星开发的智能家居平台,以及在iOS和Android上实现SmartThings的私有证书。
据专家介绍,许多公开的文件夹存储了三星的SmartThings和Bixby服务的记录和分析数据,以及以纯文本形式存储的多名员工的私人GitLab令牌。
SmartThings应用程序仅从Google Play下载和安装超过1亿次; 该公司定期更新该应用程序,但专家声称三星开发人员令牌可以授予GitLab 130个三星项目的访问权限。
另一方面,在网络应用程序安全课程专家完成调查后,该公司已撤销亚马逊网络服务(AWS)的凭据。 三星尚未关闭此案,这意味着他们可能尚未完成网络安全事件恢复过程。
根据国际网络安全研究所(IICS)的专家的说法,很少有公司错误地通过软件开发人员的平台泄露机密材料,如源代码或私钥。 对于许多专家来说,这个问题的一个基本部分是外包服务,它可以在日常工作中承担多项安全漏洞。
2019年5月9日
