换肤

logo

logo

三星多个内部项目敏感源代码泄露 或在不知情时被注入恶意代码

2019-05-09 09:40:30 | 来源:腾讯科技 | 作者:
侯赛因对报告安全漏洞并不陌生。他最近披露了Blind的一个易受攻击的后端数据库。Blind是一家在硅谷员工中颇受欢迎的匿名社交网站,侯赛因发现一台服务器泄露了科学期刊巨头爱思唯尔(Elsevier)的滚动用户密码列表

5月9日消息,据外媒报道,迪拜网络安全公司SpiderSilk的安全研究员莫萨布·侯赛因(Mossab Hussein)最近发现,三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥,其中包括其SmartThings平台项目。

这家电子巨头将几十个内部编码项目留在了三星旗下实验室Vandev Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目,并为其贡献代码。由于这些项目被设置为“公共”,而且没有用密码进行适当的保护,因此任何人都可以深入查看每个项目的进展,访问和下载源代码,从而导致绝密信息泄露。

侯赛因表示,其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户,里面包括100多个S3存储桶,其中包含日志和分析数据。

此外,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,但也有几名员工公开的、以明文形式存储的私有GitLab令牌,这使得侯赛因能够利用42个公共项目获得的信息对另外135个项目进行访问,包括许多私人项目。

三星宣称,其中一些文件是用于测试的,但侯赛因对这一说法提出质疑,称在GitLab存储库中发现的源代码与4月10日在谷歌应用店Google Play上发布的安卓(Android)应用程序包含的代码相同。

这个应用程序已经更新过,到目前为止已经安装了1亿多次。侯赛因称:“我有一个用户的私密令牌,完全可以访问GitLab上所有的135个项目。”这可能允许他使用工作人员的帐户进行代码更改。

侯赛因还分享了几张其相关发现的截图和一段视频,供人们检查和验证。公开的GitLab实例还包含三星SmartThings的iOS和安卓应用程序的私有证书。

侯赛因还在泄露文件中发现了几份内部文件和幻灯片。他说:“真正的威胁在于有人可能获得对应用程序源代码这种高级别的访问,并在公司不知情的情况下向其注入恶意代码。”

侯赛因还称,通过公开的密匙和令牌,他记录了大量的访问权限,如果被恶意行为者获得,可能会导致“灾难性后果”。

被泄露AWS凭证的屏幕截图,它允许使用GitLab私有令牌访问存储桶

侯赛因是一名白帽黑客和数据泄露发现者,他于4月10日向三星报告了自己的发现。在接下来的几天里,三星开始撤销AWS凭证,但尚不清楚其余的密钥和凭证是否被吊销。

在侯赛因首次披露这个问题近一个月后,三星仍未了结侯赛因的漏洞报告。

三星发言人扎克·杜根(Zach Dugan)表示:“最近,一位个人安全研究员报告说,我们一个测试平台的安全奖励计划存在漏洞。我们迅速撤销了其报告测试平台的所有密钥和凭证,虽然我们尚未找到任何外部访问的证据,但我们目前正在对此进行进一步调查。”

侯赛因说,三星直到4月30日才撤销GitLab的私钥。三星拒绝回答具体问题,也没有提供任何证据证明三星拥有的开发环境是用于测试的。

侯赛因对报告安全漏洞并不陌生。他最近披露了Blind的一个易受攻击的后端数据库。Blind是一家在硅谷员工中颇受欢迎的匿名社交网站,侯赛因发现一台服务器泄露了科学期刊巨头爱思唯尔(Elsevier)的滚动用户密码列表。

侯赛因称,三星的数据泄露是他迄今最大的发现。他说:“我还没有见过这么大的一家公司使用这种奇怪的做法来处理他们的基础设施。”

声明:本站原创文章版权归专门网所有,编译文章的中文版权归专门网所有,转载文章版权归原作者所有,编译和转载的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。转载本站作品用于非商业用途无需许可,但需注明出处为专门网,商业用途须取得本站书面授权许可。
广告合作请联系QQ755851098

我要评论

共有 0 条评论

加入51NB

资讯编辑

职位描述:

    1、负责网站资讯的编辑与发布;
    2、负责网站日常维护,喜欢策划撰写原创话题;

职位要求:

    1、 大专及以上学历;
    2、 有一定文字功底,能独立进行写作、编辑
    3、 对数码产品有浓厚兴趣,关注互联网新动态;
    4、 擅长使用新媒体运营工具;
    5、 工作具有很大灵活性,希望能发挥个人主观能动性。
请将您的简历发送至: service@51nb.com

翻译编辑

职位描述:

    翻译NotebookCheck等外媒评测文章;

职位要求:

    1、 拒绝机翻;
    2、 行文应言简意赅,考虑国内语言习惯;
    3、 能够学习使用简单的html格式代码。
请将您的简历发送至: service@51nb.com

评测编辑

职位描述:

    1、撰写数码产品相关开箱与评测;
    2、能够灵活运用外媒文章素材;

职位要求:

    没啥要求,能写出个性就行。
请将您的简历发送至: service@51nb.com

论坛编辑

职位描述:

    1、负责在论坛制造高质量的讨论话题;
    2、负责轻度的论坛板块管理工作;

职位要求:

    有玩论坛经验者优先
请将您的简历发送至: service@51nb.com

最新评论

会员登录 ×