El mes pasado, se descubrió que una instancia de GitLab para Vandev Lab, que es propiedad de Samsung, no había asegurado sus proyectos con una contraseña. Como tal, se establecieron docenas de proyectos de codificación interna para varias aplicaciones, servicios y proyectos de Samsung público, que a su vez proporcionó un mayor acceso a los proyectos de Samsung, incluida su popular casa inteligente ecosistema SmartThings.
Sin proteger adecuadamente los proyectos con una contraseña, le dio a cualquiera la capacidad de ver el código fuente, descargarlo o incluso realizar cambios.
Un investigador de seguridad de SpiderSilk llamado Mossab Hussein descubrió el fallo de seguridad el 10 de abril y lo informó a Samsung. En sus hallazgos, tuvo acceso a toda la cuenta de AWS, incluidos más de cien depósitos de almacenamiento S3 que contienen registros y datos analíticos.
Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
Los registros y análisis cubrieron productos Samsung como los servicios SmartThings y Bixby, así como tokens privados de GitLab de varios empleados en texto sin formato. Con el uso de estos tokens, Hussein pudo acceder a entre 45 y 135 proyectos públicos y privados.
Cuando se puso en contacto con Samsung, le dijeron a Hussein que algunos de los archivos eran para pruebas, pero se apresuró a señalar que el código fuente de la versión actual de la aplicación Android SmartThings estaba presente. Sin embargo, la aplicación se ha actualizado desde su conversación.
La parte más peligrosa de este acceso es que, con los tokens de GitLab, Hussein podría haber realizado cambios en el código de Samsung. Él afirmó:
La verdadera amenaza radica en la posibilidad de que alguien adquiera este nivel de acceso al código fuente de la aplicación y lo inyecte con código malicioso sin que la empresa lo sepa.
Las credenciales de AWS fueron revocadas unos días después de que Hussein contactara a Samsung, pero no se ha verificado si las claves secretas y los certificados recibieron un tratamiento similar. Tal como está ahora, Samsung todavía no ha cerrado el informe de vulnerabilidad casi un mes después de que se informó por primera vez. Sin embargo, cuando se le pidió un comentario, Zach Dugan, un portavoz de Samsung respondió:
Revocamos rápidamente todas las claves y certificados de la plataforma de prueba informada y, aunque todavía tenemos que encontrar pruebas de que se haya producido un acceso externo, actualmente estamos investigando esto más a fondo.
Según Hussein, tomó hasta el 30 de abril para que se revoquen las claves privadas de GitLab, y se cita diciendo: "No he visto a una empresa tan grande manejar su infraestructura usando prácticas extrañas como esa". Cuando TechCrunch hizo preguntas específicas sobre el incidente, o como prueba de que fue solo para entornos de prueba, Samsung se negó.
Este es solo otro ejemplo de cómo las prácticas de seguridad adecuadas se están volviendo cada vez más importantes en estos días a medida que la tecnología se abre paso en todos los aspectos de nuestras vidas.
Práctica de Google Nest Hub Max: un gran todo en uno para su hogar inteligente
Podemos ganar una comisión por compras utilizando nuestros enlaces. Aprende más.
Estos son los mejores auriculares inalámbricos que puede comprar a cualquier precio.
Los mejores auriculares inalámbricos son cómodos, suenan muy bien, no cuestan demasiado y caben fácilmente en un bolsillo.
Todo lo que necesita saber sobre la PS5: fecha de lanzamiento, precio y más.
Sony ha confirmado oficialmente que está trabajando en PlayStation 5. Aquí está todo lo que sabemos hasta ahora.
Nokia lanza dos nuevos teléfonos Android One económicos por menos de $ 200.
Nokia 2.4 y Nokia 3.4 son las últimas incorporaciones a la línea de teléfonos inteligentes económicos de HMD Global. Dado que ambos son dispositivos Android One, se garantiza que recibirán dos actualizaciones importantes del sistema operativo y actualizaciones de seguridad periódicas durante un máximo de tres años.
Asegure su hogar con estos timbres y cerraduras SmartThings.
Una de las mejores cosas de SmartThings es que puede usar una gran cantidad de otros dispositivos de terceros en su sistema, timbres y cerraduras incluidos. Dado que todos comparten esencialmente el mismo soporte de SmartThings, nos hemos centrado en qué dispositivos tienen las mejores especificaciones y trucos para justificar su adición a su arsenal de SmartThings.