في الشهر الماضي ، تم اكتشاف أن مثيل GitLab لمختبر Vandev ، المملوك لشركة Samsung ، لم يؤمن مشاريعه بكلمة مرور. على هذا النحو ، تم تعيين العشرات من مشاريع الترميز الداخلية لمختلف تطبيقات وخدمات ومشاريع Samsung على عامة ، والتي بدورها وفرت وصولاً أكبر إلى مشاريع Samsung ، بما في ذلك منزلها الذكي الشهير النظام البيئي SmartThings.
بدون تأمين المشاريع بشكل صحيح بكلمة مرور ، فإنه يمنح أي شخص القدرة على عرض كود المصدر أو تنزيله أو حتى إجراء تغييرات.
باحث أمني من SpiderSilk اسمه مصعب حسين كشف النقاب عن الثغرة الأمنية في 10 أبريل وأبلغت سامسونج بذلك. في النتائج التي توصل إليها ، تمكن من الوصول إلى حساب AWS بالكامل بما في ذلك أكثر من مائة حاوية تخزين S3 تحتوي على سجلات وبيانات تحليلية.
تقدم Verizon Pixel 4a مقابل 10 دولارات شهريًا فقط على خطوط جديدة غير محدودة
غطت السجلات والتحليلات منتجات Samsung مثل SmartThings و Bixby ، بالإضافة إلى رموز GitLab الخاصة بالعديد من الموظفين بنص عادي. باستخدام هذه الرموز ، تمكن حسين من الوصول إلى ما بين 45 و 135 مشروعًا عامًا وخاصة.
عندما اتصل بشركة Samsung ، تم إخبار حسين أن بعض الملفات كانت قيد الاختبار ، لكنه سارع إلى الإشارة إلى أن كود المصدر للإصدار الحالي من تطبيق Android SmartThings موجود. تم تحديث التطبيق منذ محادثتهم ، ومع ذلك.
أخطر جزء في هذا الوصول هو أنه باستخدام رموز GitLab ، كان بإمكان حسين إجراء تغييرات على رمز Samsung. قال:
يكمن التهديد الحقيقي في إمكانية حصول شخص ما على هذا المستوى من الوصول إلى الكود المصدري للتطبيق ، وحقنه بشفرة ضارة دون علم الشركة.
تم إبطال بيانات اعتماد AWS بعد أيام قليلة من اتصال حسين بشركة Samsung ، ولكن لم يتم التحقق مما إذا كانت المفاتيح والشهادات السرية قد تلقت معاملة مماثلة. كما هو الحال الآن ، لم تغلق Samsung تقرير الثغرات الأمنية بعد شهر تقريبًا من الإبلاغ عنها لأول مرة. ومع ذلك ، عندما سئل عن تعليق ، أجاب زاك دوجان ، المتحدث باسم سامسونج:
لقد أبطلنا بسرعة جميع المفاتيح والشهادات لمنصة الاختبار التي تم الإبلاغ عنها ، وبينما لم نعثر بعد على دليل على حدوث أي وصول خارجي ، فإننا نقوم حاليًا بالتحقيق في هذا الأمر بشكل أكبر.
وفقًا لحسين ، فقد استغرق الأمر حتى 30 أبريل لإلغاء مفاتيح GitLab الخاصة ، ونُقل عنه قائلا ، "لم أر شركة بهذا الحجم تتعامل مع بنيتها التحتية باستخدام ممارسات غريبة من هذا القبيل." متى تك كرانش طرحت سامسونج أسئلة محددة حول الحادث ، أو لإثبات أنها كانت لبيئات الاختبار فقط ، رفضت سامسونج.
هذا مجرد مثال آخر على مدى أهمية الممارسات الأمنية المناسبة هذه الأيام حيث تجد التكنولوجيا طريقها إلى كل جانب من جوانب حياتنا.
التدريب العملي على Google Nest Hub Max: جهاز متعدد الإمكانات رائع لمنزلك الذكي
قد نربح عمولة على المشتريات باستخدام روابطنا. أعرف أكثر.
هذه هي أفضل سماعات أذن لاسلكية يمكنك شراؤها بكل سعر!
أفضل سماعات الأذن اللاسلكية مريحة ، وذات صوت رائع ، ولا تكلف الكثير ، ويمكن وضعها بسهولة في الجيب.
كل ما تحتاج لمعرفته حول PS5: تاريخ الإصدار والسعر والمزيد.
أكدت شركة Sony رسميًا أنها تعمل على PlayStation 5. إليك كل ما نعرفه عنها حتى الآن.
أطلقت نوكيا هاتفين جديدين يعملان بنظام Android One بسعر أقل من 200 دولار.
يعد Nokia 2.4 و Nokia 3.4 أحدث الإضافات إلى مجموعة الهواتف الذكية ذات الميزانية المحدودة من HMD Global. نظرًا لأن كلاهما يعمل بنظام Android One ، فمن المضمون تلقي تحديثين رئيسيين لنظام التشغيل وتحديثات أمنية منتظمة لمدة تصل إلى ثلاث سنوات.
قم بتأمين منزلك باستخدام أجراس وأقفال أبواب SmartThings.
أحد أفضل الأشياء في SmartThings هو أنه يمكنك استخدام عدد كبير من أجهزة الطرف الثالث الأخرى على نظامك ، بما في ذلك أجراس الباب والأقفال. نظرًا لأنهم جميعًا يشتركون بشكل أساسي في نفس دعم SmartThings ، فقد ركزنا على الأجهزة التي لديها أفضل المواصفات والحيل لتبرير إضافتها إلى ترسانة SmartThings الخاصة بك.