三星意外泄露数十个项目源代码，SmartThings亦受影响 – 作者:厦门安胜网络科技有限公司

据外媒报道，三星意外泄露数十个项目源代码，SmartThings等应用程序亦受影响，其源代码、证书、密钥，以及存储的AWS账户、分析数据、日志等机密数据均被公开。

图片来源于pixabay

该事件由迪拜信息安全公司SpiderSilk研究人员Mossab Hussein发现，三星数十个自主编码项目出现在旗下Vandev Lab的GitLab实例中，该实例一直被员工用于分享各种应用、服务和项目代码。

Hussein表示，此次发生泄露的项目被设置为“公开”，允许所有用户无密码查看、获取并下载源代码。其中某个项目包含的证书允许访问正在使用的所有AWS帐号，包括100多个S3存储单元中保存的日志和分析数据。 

图片来源于unsplash

据悉，还有许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据，以及几名员工明文保存的私有GitLab令牌，这将允许黑客额外获得42个公开项目及多个私有项目的访问权限。更严重的是，Hussein获取了一名用户的私有令牌，可以访问所有存储在GitLab上的135个项目，并使用该员工账号修改代码。

对此，三星回应称其中一些文件仅用于测试，但Hussein提出质疑，并提供了多张屏幕截图和视频，证明发生泄露的GitLab实例中包含三星SmartThings的iOS和安卓应用私有证书，且在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的安卓应用所包含的代码相同。截至目前，该应用经过升级已被安装超过1亿次。

图片来源于unsplash

来源：http://u6.gg/s4zQz

来源：freebuf.com 2019-05-10 13:34:57 by: 厦门安胜网络科技有限公司