据外媒报道,三星意外泄露数十个项目源代码,SmartThings等应用程序亦受影响,其源代码、证书、密钥,以及存储的AWS账户、分析数据、日志等机密数据均被公开。
图片来源于pixabay
该事件由迪拜信息安全公司SpiderSilk研究人员Mossab Hussein发现,三星数十个自主编码项目出现在旗下Vandev Lab的GitLab实例中,该实例一直被员工用于分享各种应用、服务和项目代码。
Hussein表示,此次发生泄露的项目被设置为“公开”,允许所有用户无密码查看、获取并下载源代码。其中某个项目包含的证书允许访问正在使用的所有AWS帐号,包括100多个S3存储单元中保存的日志和分析数据。
图片来源于unsplash
据悉,还有许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,以及几名员工明文保存的私有GitLab令牌,这将允许黑客额外获得42个公开项目及多个私有项目的访问权限。更严重的是,Hussein获取了一名用户的私有令牌,可以访问所有存储在GitLab上的135个项目,并使用该员工账号修改代码。
对此,三星回应称其中一些文件仅用于测试,但Hussein提出质疑,并提供了多张屏幕截图和视频,证明发生泄露的GitLab实例中包含三星SmartThings的iOS和安卓应用私有证书,且在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的安卓应用所包含的代码相同。截至目前,该应用经过升级已被安装超过1亿次。
图片来源于unsplash
来源:http://u6.gg/s4zQz
来源:freebuf.com 2019-05-10 13:34:57 by: 厦门安胜网络科技有限公司
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册