Pagājušajā mēnesī tika atklāts, ka GandLab instance Vandev Lab, kas pieder Samsung, nebija nodrošinājusi savus projektus ar paroli. Tādējādi tika iestatīti desmitiem iekšējo kodēšanas projektu dažādām Samsung lietotnēm, pakalpojumiem un projektiem sabiedrība, kas savukārt nodrošināja turpmāku piekļuvi Samsung projektiem, tostarp tās populārajai viedajai mājai ekosistēma SmartThings.
Pareizi nenodrošinot projektus ar paroli, tas ikvienam deva iespēju apskatīt pirmkodu, lejupielādēt to vai pat veikt izmaiņas.
Nosaukts drošības pētnieks no SpiderSilk Mossab Hussein 10. aprīlī atklāja drošības termiņa beigām un ziņoja par to Samsung. Savos atklājumos viņam bija piekļuve visam AWS kontam, ieskaitot vairāk nekā simts S3 glabāšanas spaiņus, kas satur žurnālus un analītiskos datus.
Verizon piedāvā Pixel 4a tikai par USD 10 mēnesī jaunās Neierobežotās līnijās
Žurnāli un analīze aptvēra Samsung produktus, piemēram, SmartThings un Bixby pakalpojumus, kā arī vairāku darbinieku privātos GitLab marķierus vienkāršā tekstā. Izmantojot šos marķierus, Huseins varēja piekļūt no 45 līdz 135 publiskiem un privātiem projektiem.
Kad viņš sazinājās ar Samsung, Huseinam tika paziņots, ka daži faili ir paredzēti testēšanai, taču viņš ātri norādīja, ka ir pieejams pašreizējās Android SmartThings lietotnes versijas avota kods. Tomēr lietotne ir atjaunināta kopš viņu sarunas.
Šīs piekļuves bīstamākā daļa ir tā, ka, izmantojot GitLab žetonus, Huseins varēja veikt izmaiņas Samsung kodā. Viņš paziņoja:
Patiesie draudi ir saistīti ar iespēju kādam iegūt šāda līmeņa piekļuvi lietojumprogrammas avota kodam un injicēt tajā ļaunprātīgu kodu, uzņēmumam nezinot.
AWS akreditācijas dati tika atsaukti dažas dienas pēc tam, kad Huseins bija sazinājies ar Samsung, taču nav pārbaudīts, vai slepenās atslēgas un sertifikāti izturējās līdzīgi. Tāpat kā tagad, Samsung joprojām nav aizvēris ievainojamības ziņojumu gandrīz mēnesi pēc tā pirmās ziņošanas. Tomēr, kad tika lūgts komentēt, Samsung pārstāvis Zaks Dugans atbildēja:
Mēs ātri atsaucām visas atskaites testēšanas platformas visas atslēgas un sertifikātus, un, kamēr mums vēl nav jāatrod pierādījumi par ārēju piekļuvi, mēs to pašlaik izmeklējam tālāk.
Pēc Huseina teiktā, līdz GitLab privāto atslēgu atsaukšanai bija vajadzīgs līdz 30. aprīlim, un viņš tiek citēts sakot: "Es neesmu redzējis, ka tik liels uzņēmums rīkotos ar savu infrastruktūru, izmantojot tādas dīvainas prakses." Kad TechCrunch uzdeva konkrētus jautājumus par incidentu vai pierādījumam, ka tas bija paredzēts tikai vides pārbaudei, Samsung noraidīja.
Tas ir tikai vēl viens piemērs tam, kā pareiza drošības prakse mūsdienās kļūst arvien nozīmīgāka, kad tehnoloģija nonāk ikvienā mūsu dzīves aspektā.
Google Nest Hub Max praktiskais risinājums: lielisks viss vienā jūsu viedajai mājai
Mēs varam nopelnīt komisiju par pirkumiem, izmantojot mūsu saites. Uzzināt vairāk.
Šie ir labākie bezvadu ausu uzgaļi, kurus varat iegādāties par katru cenu!
Vislabākie bezvadu austiņu korpusi ir ērti, izklausās lieliski, neizmaksā pārāk daudz un viegli ietilpst kabatā.
Viss, kas jums jāzina par PS5: izlaišanas datums, cena un vēl vairāk.
Sony ir oficiāli apstiprinājis, ka strādā pie PlayStation 5. Šeit ir viss, ko mēs par to zinām līdz šim.
Nokia izlaiž divus jaunus budžeta Android One tālruņus zem 200 USD.
Nokia 2.4 un Nokia 3.4 ir jaunākie papildinājumi HMD Global budžeta viedtālruņu klāstā. Tā kā tās abas ir Android One ierīces, tiek garantēts, ka tās saņems divus galvenos OS atjauninājumus un regulārus drošības atjauninājumus līdz trim gadiem.
Nodrošiniet savu māju ar šiem SmartThings durvju zvaniem un slēdzenēm.
Viena no labākajām lietām SmartThings ir tā, ka savā sistēmā varat izmantot virkni citu trešo pušu ierīču, iekļaujot durvju zvani un slēdzenes. Tā kā viņiem visiem būtībā ir vienāds SmartThings atbalsts, mēs esam koncentrējušies uz to, kurām ierīcēm ir vislabākās specifikācijas un triki, lai attaisnotu to pievienošanu jūsu SmartThings arsenālam.