Sidste måned blev det opdaget, at en GitLab-instans til Vandev Lab, der ejes af Samsung, ikke havde sikret sine projekter med en adgangskode. Som sådan blev snesevis af interne kodningsprojekter til forskellige Samsung-apps, -tjenester og -projekter indstillet til offentlighed, hvilket igen gav yderligere adgang til Samsung-projekter, inklusive dets populære smart home-økosystem SmartThings.
Uden at sikre projekterne korrekt med et kodeord, gav det enhver mulighed for at se kildekoden, downloade den eller endda foretage ændringer.
En sikkerhedsforsker fra SpiderSilk ved navn Mossab Hussein afslørede bortfaldet i sikkerhed den 10. april og rapporterede det til Samsung. I sine fund havde han adgang til hele AWS-kontoen inklusive over hundrede S3-opbevaringsspande, der indeholder logfiler og analytiske data.
Logfilerne og analyserne dækkede Samsung-produkter såsom SmartThings og Bixby-tjenester samt adskillige medarbejders private GitLab-symboler i ren tekst. Ved hjælp af disse tokens kunne Hussein få adgang til mellem 45 og 135 offentlige og private projekter.
Da han kontaktede Samsung, fik Hussein besked, at nogle af filerne var til test, men han var hurtig til at påpege kildekoden til den aktuelle version af Android SmartThings-appen var til stede. Appen er dog blevet opdateret siden deres samtale.
Den farligste del af denne adgang er, at Hussein med GitLab-symbolerne kunne have foretaget ændringer af Samsungs kode. Han sagde:
Den virkelige trussel ligger i muligheden for, at nogen erhverver dette niveau af adgang til applikationens kildekode og injicerer den med ondsindet kode uden, at virksomheden ved det.
AWS-legitimationsoplysninger blev tilbagekaldt et par dage efter, at Hussein kontaktede Samsung, men det er ikke blevet bekræftet, om de hemmelige nøgler og certifikater modtog lignende behandling. Som det er nu, har Samsung stadig ikke lukket sårbarhedsrapporten næsten en måned efter, at den først blev rapporteret. Da Zach Dugan blev bedt om en kommentar, svarede en Samsung-talsmand imidlertid:
Vi tilbagekaldte hurtigt alle nøgler og certifikater til den rapporterede testplatform, og selvom vi endnu ikke har fundet bevis for, at der opstod ekstern adgang, undersøger vi i øjeblikket dette nærmere.
Ifølge Hussein tog det indtil 30. april, at de private nøgler fra GitLab blev ophævet, og han er citeret og sagde: "Jeg har ikke set et firma, der er så stort, håndterer deres infrastruktur ved hjælp af underlige fremgangsmåder som den." Da TechCrunch stillede specifikke spørgsmål om hændelsen, eller til bevis for, at det kun var til testmiljøer, afviste Samsung.
Dette er blot endnu et eksempel på, hvordan ordentlig sikkerhedspraksis bliver mere og mere vigtig i disse dage, da teknologien finder vej ind i alle aspekter af vores liv.
Google Nest Hub Max hands-on: En fantastisk alt-i-en til dit smarte hjem
Vi tjener muligvis en provision for køb ved hjælp af vores links. Lær mere.
