Minulý měsíc bylo zjištěno, že instance GitLab pro laboratoř Vandev Lab, kterou vlastní společnost Samsung, nezajistila své projekty heslem. Jako takové byly nastaveny desítky projektů interního kódování pro různé aplikace, služby a projekty Samsung veřejnost, která zase poskytla další přístup k projektům Samsung, včetně populární inteligentní domácnosti ekosystém SmartThings.
Bez řádného zabezpečení projektů heslem dalo komukoli možnost zobrazit zdrojový kód, stáhnout jej nebo dokonce provést změny.
Pojmenován výzkumník v oblasti bezpečnosti ze SpiderSilk Mossab Hussein odhalil výpadek zabezpečení 10. dubna a nahlásil jej společnosti Samsung. Ve svých zjištěních měl přístup k celému účtu AWS, včetně více než stovky úložišť S3 obsahujících protokoly a analytická data.
Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited
Protokoly a analýzy zahrnovaly produkty Samsung, jako jsou SmartThings a služby Bixby, stejně jako soukromé tokeny GitLab několika zaměstnanců v prostém textu. S využitím těchto tokenů mohl Husajn přistupovat mezi 45 a 135 veřejnými a soukromými projekty.
Když kontaktoval společnost Samsung, bylo Husajnovi řečeno, že některé soubory byly pro testování, ale rychle poukázal na zdrojový kód pro aktuální verzi aplikace Android SmartThings. Aplikace byla od jejich konverzace aktualizována.
Nejnebezpečnější částí tohoto přístupu je to, že s tokeny GitLab mohl Husajn provést změny v kódu Samsungu. Uvedl:
Skutečná hrozba spočívá v možnosti někoho získat tuto úroveň přístupu ke zdrojovému kódu aplikace a vložit jej škodlivému kódu, aniž by o tom společnost věděla.
Pověření AWS byla zrušena několik dní poté, co Hussein kontaktoval společnost Samsung, ale nebylo ověřeno, zda se tajným klíčům a certifikátům dostalo podobného zacházení. Společnost Samsung dosud neuzavřela zprávu o chybě téměř měsíc po jejím prvním nahlášení. Na žádost o komentář však odpověděl mluvčí Samsungu Zach Dugan:
Rychle jsme odvolali všechny klíče a certifikáty pro nahlášenou testovací platformu a zatímco jsme ještě nenašli důkazy o tom, že by došlo k jakémukoli externímu přístupu, v současné době to prošetřujeme.
Podle Husajna trvalo do 30. dubna, než byly soukromé klíče GitLabu zrušeny, a je citován říká: „Neviděl jsem tak velkou společnost, která by zvládala jejich infrastrukturu pomocí takových divných praktik.“ Když TechCrunch položil konkrétní otázky týkající se incidentu nebo společnost Samsung odmítla, aby prokázala, že se jedná pouze o testovací prostředí.
Toto je jen další příklad toho, jak se správné bezpečnostní postupy v dnešní době stávají stále důležitějšími, protože technologie se dostává do všech aspektů našeho života.
Hands-on Google Nest Hub Max: Skvělé zařízení typu vše v jednom pro vaši inteligentní domácnost
Můžeme získat provizi za nákupy pomocí našich odkazů. Zjistit více.
Jedná se o nejlepší bezdrátová sluchátka, která si můžete koupit za každou cenu!
Nejlepší bezdrátová sluchátka jsou pohodlná, skvěle zní, nestojí příliš mnoho a snadno se vejdou do kapsy.
Vše, co potřebujete o PS5 vědět: Datum vydání, cena a další.
Společnost Sony oficiálně potvrdila, že pracuje na PlayStation 5. Tady je vše, co o tom zatím víme.
Nokia uvádí na trh dva nové levné telefony Android One s cenou do 200 $.
Nokia 2.4 a Nokia 3.4 jsou nejnovější přírůstky do řady levných smartphonů HMD Global. Jelikož jsou obě zařízení Android One, je zaručeno, že budou dostávat dvě hlavní aktualizace operačního systému a pravidelné aktualizace zabezpečení až na tři roky.
Zabezpečte si svůj domov pomocí těchto zvonků a zámků SmartThings.
Jednou z nejlepších věcí na SmartThings je to, že ve svém systému můžete použít spoustu dalších zařízení třetích stran, včetně zvonků a zámků. Vzhledem k tomu, že všichni v zásadě sdílejí stejnou podporu SmartThings, zaměřili jsme se na to, která zařízení mají nejlepší specifikace a triky, aby bylo možné je přidat do vašeho arzenálu SmartThings.