Tháng trước, người ta đã phát hiện ra rằng một phiên bản GitLab cho Vandev Lab, thuộc sở hữu của Samsung, đã không bảo mật các dự án của mình bằng mật khẩu. Do đó, hàng chục dự án mã hóa nội bộ cho các ứng dụng, dịch vụ và dự án khác nhau của Samsung đã được đặt thành công khai, từ đó cung cấp quyền truy cập thêm vào các dự án của Samsung, bao gồm cả hệ sinh thái nhà thông minh nổi tiếng SmartThings.
Không bảo mật chính xác các dự án bằng mật khẩu, nó cung cấp cho bất kỳ ai khả năng xem mã nguồn, tải xuống hoặc thậm chí thực hiện các thay đổi.
Một nhà nghiên cứu bảo mật từ SpiderSilk có tên Mossab Hussein đã phát hiện ra sự mất hiệu lực trong bảo mật vào ngày 10 tháng 4 và báo cáo với Samsung. Trong các phát hiện của mình, anh ta đã truy cập vào toàn bộ tài khoản AWS bao gồm hơn một trăm thùng lưu trữ S3 chứa nhật ký và dữ liệu phân tích.
Nhật ký và phân tích bao phủ các sản phẩm của Samsung như SmartThings và dịch vụ Bixby, cũng như mã thông báo GitLab riêng của một số nhân viên bằng văn bản thuần túy. Với việc sử dụng các mã thông báo này, Hussein đã có thể truy cập từ 45 đến 135 dự án công cộng và tư nhân.
Khi liên hệ với Samsung, Hussein được cho biết một số tệp đang được thử nghiệm, nhưng anh đã nhanh chóng chỉ ra mã nguồn cho phiên bản hiện tại của ứng dụng Android SmartThings. Các ứng dụng đã được cập nhật kể từ cuộc trò chuyện của họ, tuy nhiên.
Phần nguy hiểm nhất của quyền truy cập này là, với mã thông báo GitLab, Hussein có thể đã thực hiện các thay đổi đối với mã của Samsung. Ông tuyên bố:
Mối đe dọa thực sự nằm ở khả năng ai đó có được mức truy cập này vào mã nguồn ứng dụng và tiêm mã độc đó mà công ty không biết.
Thông tin đăng nhập AWS đã bị thu hồi vài ngày sau khi Hussein liên lạc với Samsung, nhưng vẫn chưa được xác minh nếu các khóa bí mật và chứng chỉ nhận được xử lý tương tự. Như hiện tại, Samsung vẫn chưa đóng báo cáo lỗ hổng gần một tháng sau khi được báo cáo lần đầu tiên. Tuy nhiên, khi được yêu cầu bình luận, Zach Dugan, phát ngôn viên của Samsung đã trả lời:
Chúng tôi đã nhanh chóng thu hồi tất cả các khóa và chứng chỉ cho nền tảng thử nghiệm được báo cáo và trong khi chúng tôi vẫn chưa tìm thấy bằng chứng cho thấy có bất kỳ truy cập bên ngoài nào xảy ra, chúng tôi hiện đang điều tra thêm.
Theo Hussein, phải đến ngày 30 tháng 4, các khóa riêng của GitLab mới bị thu hồi và anh ta được trích dẫn: "Tôi chưa thấy một công ty lớn nào xử lý cơ sở hạ tầng của họ bằng cách sử dụng những hành vi kỳ lạ như thế." Khi TechCrunch đặt câu hỏi cụ thể về sự cố hoặc để chứng minh nó chỉ dành cho môi trường thử nghiệm, Samsung đã từ chối.
Đây chỉ là một ví dụ khác về cách thức thực hành bảo mật đúng đắn ngày càng trở nên quan trọng hơn khi công nghệ tìm đường vào mọi khía cạnh của cuộc sống của chúng ta.
Thực hành Google Nest Hub Max: Một thiết bị đa năng tuyệt vời cho ngôi nhà thông minh của bạn
Chúng tôi có thể kiếm được một khoản hoa hồng cho việc mua hàng bằng cách sử dụng các liên kết của chúng tôi. Tìm hiểu thêm.
