Prošli mjesec otkriveno je da primjerak GitLaba za Vandev Lab, koji je u vlasništvu Samsunga, nije osigurao svoje projekte lozinkom. Kao takvi postavljeni su deseci projekata internog kodiranja za razne Samsungove aplikacije, usluge i projekte javnosti, što je zauzvrat omogućilo daljnji pristup Samsungovim projektima, uključujući njegovu popularnu pametnu kuću ekosustav SmartThings.
Bez pravilnog osiguranja projekata lozinkom, svima je pružio mogućnost pregleda izvornog koda, preuzimanja ili čak promjene.
Istraživač sigurnosti iz SpiderSilka imenovan Mossab Hussein otkrio je propust u osiguranju 10. travnja i prijavio ga Samsungu. U svojim otkrićima imao je pristup cijelom AWS računu, uključujući preko stotinu segmenata za pohranu S3 koji su sadržavali zapisnike i analitičke podatke.
Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama
Dnevnici i analitika pokrivali su Samsungove proizvode kao što su SmartThings i Bixby usluge, kao i privatne GitLab tokene nekoliko zaposlenika u običnom tekstu. Korištenjem ovih tokena Hussein je mogao pristupiti između 45 i 135 javnih i privatnih projekata.
Kada je kontaktirao Samsung, Husseinu je rečeno da su neke datoteke na testiranju, ali brzo je istaknuo izvorni kod trenutne verzije aplikacije Android SmartThings. Međutim, aplikacija je ažurirana od njihovog razgovora.
Najopasniji dio ovog pristupa je da je, s GitLab tokenima, Hussein mogao unijeti promjene u Samsungov kôd. Izjavio je:
Stvarna prijetnja leži u mogućnosti da netko stekne ovu razinu pristupa izvornom kodu aplikacije i ubrizga ga zlonamjernim kodom, a da tvrtka to ne zna.
Vjerodostojnost AWS opozvana je nekoliko dana nakon što je Hussein kontaktirao Samsung, ali nije provjereno jesu li tajni ključevi i certifikati imali sličan tretman. Kao i sada, Samsung još uvijek nije zatvorio izvješće o ranjivosti gotovo mjesec dana nakon što je prvi put prijavljeno. Međutim, na upit za komentar, Zach Dugan, glasnogovornik Samsunga odgovorio je:
Brzo smo opozvali sve ključeve i certifikate za prijavljenu platformu za testiranje i premda još nismo pronašli dokaze da je došlo do bilo kakvog vanjskog pristupa, trenutno to dodatno istražujemo.
Prema Husseinu, do 30. travnja trebalo je opozvati privatne ključeve GitLaba i citiran je rekavši, "Nisam vidio tako veliku tvrtku da se bavi svojom infrastrukturom koristeći čudne takve prakse." Kada TechCrunch postavljao konkretna pitanja o incidentu, ili kao dokaz da je to bilo samo za testiranje okruženja, Samsung je odbio.
Ovo je samo još jedan primjer kako pravilne sigurnosne prakse postaju sve važnije u današnje vrijeme dok tehnologija pronalazi put u svaki aspekt našega života.
Praktični rad s Google Nest Hub Maxom: sjajno sve u jednom za vaš pametni dom
Možemo zaraditi proviziju za kupnju pomoću naših poveznica. Saznajte više.
Ovo su najbolje bežične slušalice koje možete kupiti po svakoj cijeni!
Najbolje bežične slušalice su udobne, zvuče sjajno, ne koštaju previše i lako se stave u džep.
Sve što trebate znati o PS5: Datum izlaska, cijena i još mnogo toga.
Sony je službeno potvrdio da radi na PlayStationu 5. Evo svega što o tome zasad znamo.
Nokia lansira dva nova proračunska Android One telefona ispod 200 dolara.
Nokia 2.4 i Nokia 3.4 najnoviji su dodaci proračunskoj liniji pametnih telefona tvrtke HMD Global. Budući da su oba Android One uređaja, zajamčeno će dobiti dva glavna ažuriranja OS-a i redovita sigurnosna ažuriranja do tri godine.
Osigurajte svoj dom ovim SmartThings zvonima i bravama.
Jedna od najboljih stvari o SmartThings je ta što možete koristiti mnoštvo drugih uređaja treće strane na vašem sustavu, uključujući zvona na vratima i brave. Budući da svi oni u osnovi dijele istu podršku za SmartThings, usredotočili smo se na to koji uređaji imaju najbolje specifikacije i trikove kako bi opravdali njihovo dodavanje u vaš arsenal SmartThings.