No mês passado, foi descoberto que uma instância do GitLab para o Vandev Lab, que é propriedade da Samsung, não havia protegido seus projetos com uma senha. Como tal, dezenas de projetos de codificação internos para vários aplicativos, serviços e projetos da Samsung foram configurados para público, que por sua vez forneceu mais acesso aos projetos da Samsung, incluindo sua popular casa inteligente ecossistema SmartThings.
Sem proteger adequadamente os projetos com uma senha, ele deu a qualquer pessoa a capacidade de visualizar o código-fonte, baixá-lo ou até mesmo fazer alterações.
Um pesquisador de segurança da SpiderSilk chamado Mossab Hussein descobriu o lapso na segurança em 10 de abril e relatou à Samsung. Em suas descobertas, ele teve acesso a toda a conta da AWS, incluindo mais de uma centena de intervalos de armazenamento S3 contendo registros e dados analíticos.
A Verizon está oferecendo o Pixel 4a por apenas US $ 10 / mês nas novas linhas Unlimited
Os registros e análises cobriram produtos Samsung, como serviços SmartThings e Bixby, bem como tokens GitLab privados de vários funcionários em texto simples. Com o uso desses tokens, Hussein foi capaz de acessar entre 45 e 135 projetos públicos e privados.
Quando ele contatou a Samsung, Hussein foi informado de que alguns dos arquivos eram para teste, mas ele foi rápido em apontar que o código-fonte da versão atual do aplicativo Android SmartThings estava presente. O aplicativo foi atualizado desde a conversa, no entanto.
A parte mais perigosa desse acesso é que, com os tokens do GitLab, Hussein poderia ter feito alterações no código da Samsung. Ele afirmou:
A verdadeira ameaça está na possibilidade de alguém adquirir esse nível de acesso ao código-fonte do aplicativo e injetar um código malicioso sem que a empresa saiba.
As credenciais da AWS foram revogadas alguns dias depois que Hussein contatou a Samsung, mas não foi verificado se as chaves secretas e os certificados receberam tratamento semelhante. Como está agora, a Samsung ainda não fechou o relatório de vulnerabilidade quase um mês depois que ele foi relatado pela primeira vez. No entanto, quando questionado sobre um comentário, Zach Dugan, um porta-voz da Samsung respondeu:
Revogamos rapidamente todas as chaves e certificados para a plataforma de teste relatada e, embora ainda não tenhamos encontrado evidências de que ocorreu qualquer acesso externo, estamos investigando isso mais a fundo.
De acordo com Hussein, demorou até 30 de abril para as chaves privadas do GitLab serem revogadas, e ele é citado dizendo, "Eu nunca vi uma empresa tão grande lidar com sua infraestrutura usando práticas estranhas como essa." Quando TechCrunch fez perguntas específicas sobre o incidente, ou como prova de que foi apenas para ambientes de teste, a Samsung recusou.
Este é apenas mais um exemplo de como as práticas de segurança adequadas estão se tornando cada vez mais importantes nos dias de hoje, à medida que a tecnologia entra em cada aspecto de nossas vidas.
Prático do Google Nest Hub Max: um ótimo multifuncional para sua casa inteligente
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.
Estes são os melhores fones de ouvido sem fio que você pode comprar a qualquer preço!
Os melhores fones de ouvido sem fio são confortáveis, têm um som ótimo, não custam muito e cabem facilmente no bolso.
Tudo o que você precisa saber sobre o PS5: data de lançamento, preço e muito mais.
A Sony confirmou oficialmente que está trabalhando no PlayStation 5. Aqui está tudo o que sabemos sobre isso até agora.
A Nokia lança dois novos telefones Android One de baixo custo abaixo de US $ 200.
Nokia 2.4 e Nokia 3.4 são as mais recentes adições à linha de smartphones baratos da HMD Global. Como ambos são dispositivos Android One, eles têm a garantia de receber duas atualizações importantes do sistema operacional e atualizações regulares de segurança por até três anos.
Proteja sua casa com essas campainhas e fechaduras SmartThings.
Uma das melhores coisas sobre o SmartThings é que você pode usar uma série de outros dispositivos de terceiros em seu sistema, incluindo campainhas e fechaduras. Como todos eles basicamente compartilham o mesmo suporte SmartThings, nos concentramos em quais dispositivos têm as melhores especificações e truques para justificar adicioná-los ao seu arsenal SmartThings.