Prejšnji mesec je bilo ugotovljeno, da primerek GitLab za laboratorij Vandev, ki je v lasti družbe Samsung, svojih projektov ni zaščitil z geslom. Tako je bilo nastavljenih na desetine projektov notranjega kodiranja za različne Samsungove aplikacije, storitve in projekte javnosti, ki je nato omogočil nadaljnji dostop do Samsungovih projektov, vključno s svojim priljubljenim pametnim domom ekosistem SmartThings.
Brez ustreznega varovanja projektov z geslom je vsem omogočil ogled izvorne kode, prenos ali celo spremembe.
Imenovani raziskovalec varnosti iz podjetja SpiderSilk Mossab Hussein je 10. aprila odkril izpad varnosti in ga prijavil Samsungu. V svojih ugotovitvah je imel dostop do celotnega računa AWS, vključno z več kot sto vedri S3, ki vsebujejo dnevnike in analitične podatke.
Verizon ponuja Pixel 4a za samo 10 USD mesečno na novih linijah Unlimited
Dnevniki in analitika so zajemali izdelke Samsung, kot so storitve SmartThings in Bixby, pa tudi zasebne žetone nekaterih zaposlenih GitLab v navadnem besedilu. Z uporabo teh žetonov je Husein lahko dostopal med 45 in 135 javnimi in zasebnimi projekti.
Ko je stopil v stik s Samsungom, so Husseinu povedali, da so nekatere datoteke za testiranje, vendar je hitro opozoril na izvorno kodo trenutne različice aplikacije Android SmartThings. Aplikacija pa je bila posodobljena od njihovega pogovora.
Najbolj nevaren del tega dostopa je, da bi Hussein z žetoni GitLab lahko spreminjal kodo Samsunga. Izjavil je:
Resnična grožnja je v možnosti, da nekdo pridobi to raven dostopa do izvorne kode aplikacije in ji vbrizga zlonamerno kodo, ne da bi podjetje vedelo.
Poverilnice AWS so bile preklicane nekaj dni po tem, ko je Hussein stopil v stik s Samsungom, vendar ni preverjeno, ali so bili tajni ključi in potrdila podobni. Tako kot zdaj, Samsung še vedno ni zaprl poročila o ranljivosti skoraj mesec dni po prvem poročanju. Na vprašanje o komentarju pa je zagovornik Samsunga Zach Dugan odgovoril:
Hitro smo preklicali vse ključe in potrdila za prijavljeno preskusno platformo in čeprav še nismo našli dokazov, da je prišlo do kakršnega koli zunanjega dostopa, trenutno to še preiskujemo.
Po besedah Huseina je do 30. aprila trajalo preklic zasebnih ključev GitLab in citiran je rekel: "Nisem videl, da bi tako veliko podjetje obvladovalo svojo infrastrukturo na takšen način. Kdaj TechCrunch je postavljal konkretna vprašanja o incidentu ali kot dokaz, da je šlo le za preskusna okolja, je Samsung zavrnil.
To je le še en primer, kako postajajo ustrezne varnostne prakse v današnjem času vse bolj pomembne, saj tehnologija najde pot v vse vidike našega življenja.
Priročnik Google Nest Hub Max: odličen vse-v-enem za vaš pametni dom
Za nakup lahko z našimi povezavami zaslužimo provizijo. Nauči se več.
To so najboljše brezžične slušalke, ki jih lahko kupite za vsako ceno!
Najboljše brezžične ušesne slušalke so udobne, odlično se slišijo, ne stanejo preveč in jih enostavno spravite v žep.
Vse, kar morate vedeti o PS5: datum izdaje, cena in še več.
Sony je uradno potrdil, da dela na PlayStation 5. Tukaj je vse, kar vemo o tem doslej.
Nokia je predstavila dva nova proračunska telefona Android One, mlajša od 200 USD.
Nokia 2.4 in Nokia 3.4 sta zadnji dodatek k proračunski liniji pametnih telefonov HMD Global. Ker sta obe napravi Android One, bodo do treh let zagotovo prejemali dve glavni posodobitvi OS in redne varnostne posodobitve.
Zaščitite svoj dom s temi zvonci in ključavnicami SmartThings.
Ena najboljših stvari pri SmartThings je, da lahko v svojem sistemu uporabite številne druge naprave drugih proizvajalcev, vključno z zvonovi in ključavnicami. Ker imajo vsi v bistvu enako podporo za SmartThings, smo se osredotočili na to, katere naprave imajo najboljše specifikacije in trike, da bi upravičili njihovo dodajanje v svoj arzenal SmartThings.