Le mois dernier, il a été découvert qu'une instance GitLab pour Vandev Lab, qui appartient à Samsung, n'avait pas sécurisé ses projets avec un mot de passe. En tant que tel, des dizaines de projets de codage internes pour diverses applications, services et projets Samsung ont été définis pour public, qui à son tour a fourni un accès supplémentaire aux projets Samsung, y compris sa populaire maison intelligente écosystème SmartThings.
Sans sécuriser correctement les projets avec un mot de passe, cela donnait à quiconque la possibilité de visualiser le code source, de le télécharger ou même d'apporter des modifications.
Un chercheur en sécurité de SpiderSilk nommé Mossab Hussein a découvert le manque de sécurité le 10 avril et l'a signalé à Samsung. Dans ses conclusions, il avait accès à l'ensemble du compte AWS, y compris plus d'une centaine de compartiments de stockage S3 contenant des journaux et des données analytiques.
Verizon propose le Pixel 4a pour seulement 10 $ / mois sur les nouvelles lignes illimitées
Les journaux et les analyses couvraient les produits Samsung tels que les services SmartThings et Bixby, ainsi que les jetons GitLab privés de plusieurs employés en texte brut. Avec l'utilisation de ces jetons, Hussein a pu accéder entre 45 et 135 projets publics et privés.
Lorsqu'il a contacté Samsung, Hussein a appris que certains des fichiers étaient à tester, mais il n'a pas tardé à signaler que le code source de la version actuelle de l'application Android SmartThings était présent. Cependant, l'application a été mise à jour depuis leur conversation.
La partie la plus dangereuse de cet accès est qu'avec les jetons GitLab, Hussein aurait pu apporter des modifications au code de Samsung. Il a déclaré:
La vraie menace réside dans la possibilité que quelqu'un acquière ce niveau d'accès au code source de l'application, et lui injecte du code malveillant à l'insu de l'entreprise.
Les informations d'identification AWS ont été révoquées quelques jours après que Hussein a contacté Samsung, mais il n'a pas été vérifié si les clés secrètes et les certificats ont reçu un traitement similaire. Dans l'état actuel des choses, Samsung n'a toujours pas fermé le rapport de vulnérabilité près d'un mois après sa première notification. Cependant, lorsqu'on lui a demandé un commentaire, Zach Dugan, un porte-parole de Samsung a répondu:
Nous avons rapidement révoqué toutes les clés et tous les certificats de la plate-forme de test signalée et bien que nous n'ayons pas encore trouvé de preuve d'un accès externe, nous étudions actuellement cette question plus en détail.
Selon Hussein, il a fallu jusqu'au 30 avril pour que les clés privées de GitLab soient révoquées, et il est cité en disant: "Je n'ai pas vu une entreprise aussi grande gérer son infrastructure en utilisant des pratiques étranges comme celle-là." Quand TechCrunch a posé des questions spécifiques sur l'incident, ou pour preuve que c'était uniquement pour les environnements de test, Samsung a refusé.
Ceci est juste un autre exemple de la façon dont les pratiques de sécurité appropriées deviennent de plus en plus importantes de nos jours alors que la technologie se retrouve dans tous les aspects de nos vies.
Google Nest Hub Max: un tout-en-un idéal pour votre maison intelligente
Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.
Ce sont les meilleurs écouteurs sans fil que vous pouvez acheter à tous les prix!
Les meilleurs écouteurs sans fil sont confortables, sonnent bien, ne coûtent pas trop cher et tiennent facilement dans une poche.
Tout ce que vous devez savoir sur la PS5: date de sortie, prix, etc.
Sony a officiellement confirmé qu'il fonctionnait sur la PlayStation 5. Voici tout ce que nous savons à ce sujet jusqu'à présent.
Nokia lance deux nouveaux téléphones Android One économiques de moins de 200 $.
Nokia 2.4 et Nokia 3.4 sont les derniers ajouts à la gamme de smartphones économiques de HMD Global. Comme ce sont tous les deux des appareils Android One, ils sont garantis de recevoir deux mises à jour majeures du système d'exploitation et des mises à jour de sécurité régulières pendant trois ans.
Sécurisez votre maison avec ces sonnettes et serrures SmartThings.
L'une des meilleures choses à propos de SmartThings est que vous pouvez utiliser une multitude d'autres appareils tiers sur votre système, sonnettes et serrures incluses. Comme ils partagent tous essentiellement le même support SmartThings, nous nous sommes concentrés sur les appareils dotés des meilleures spécifications et astuces pour justifier leur ajout à votre arsenal SmartThings.