في الشهر الماضي ، تم اكتشاف أن مثيل GitLab لـ Vandev Lab ، المملوكة لشركة Samsung ، لم يؤمن مشاريعها بكلمة مرور. على هذا النحو ، تم تعيين العشرات من مشاريع الترميز الداخلية للعديد من تطبيقات وخدمات سامسونج ومشاريعها على الجمهور ، مما أتاح بدوره مزيدًا من الوصول إلى مشاريع سامسونج ، بما في ذلك SmartThings للنظم الإيكولوجية للمنزل الذكي.
دون تأمين المشاريع بشكل صحيح بكلمة مرور ، فقد أعطى أي شخص القدرة على عرض التعليمات البرمجية المصدر أو تنزيلها أو حتى إجراء تغييرات.
كشف باحث أمني من شركة SpiderSilk يدعى مصعب حسين عن انهيار الأمن في 10 أبريل وأبلغه إلى شركة Samsung. في النتائج التي توصل إليها ، كان لديه حق الوصول إلى حساب AWS بأكمله بما في ذلك أكثر من مائة دلاء تخزين S3 تحتوي على سجلات وبيانات تحليلية.
غطت السجلات والتحليلات منتجات Samsung مثل خدمات SmartThings و Bixby ، بالإضافة إلى رموز GitLab الخاصة بالعديد من الموظفين بنص عادي. باستخدام هذه الرموز ، تمكن حسين من الوصول إلى ما بين 45 و 135 مشروعًا حكوميًا وخاصًا.
عندما اتصل بشركة Samsung ، تم إخبار حسين بأن بعض الملفات كانت للاختبار ، لكنه كان سريعًا في الإشارة إلى الكود المصدر للإصدار الحالي من تطبيق Android SmartThings كان موجودًا. تم تحديث التطبيق منذ محادثتهم.
إن أخطر جزء من هذا الوصول هو أنه مع رموز GitLab ، كان بإمكان حسين إجراء تغييرات على كود Samsung. قال:
يكمن التهديد الحقيقي في إمكانية حصول شخص ما على هذا المستوى من الوصول إلى شفرة مصدر التطبيق ، وحقنه برمز خبيث دون علم الشركة.
تم إلغاء أوراق اعتماد AWS بعد أيام قليلة من اتصال حسين بشركة Samsung ، لكن لم يتم التحقق مما إذا كانت المفاتيح والشهادات السرية قد تلقت معاملة مماثلة. كما هو الحال الآن ، لا تزال شركة Samsung لم تغلق تقرير الضعف بعد شهر تقريبًا من الإبلاغ عنه. ومع ذلك ، عندما طلب منه تعليق ، أجاب زاك دوغان ، المتحدث باسم شركة Samsung:
لقد ألغينا بسرعة جميع المفاتيح والشهادات لمنصة الاختبار المُبلغ عنها ، وبينما لم نجد بعد دليلًا على حدوث أي وصول خارجي ، فإننا نحقق في هذا الأمر حاليًا.
وفقًا لما قاله حسين ، فقد استغرق الأمر حتى 30 أبريل لإلغاء المفاتيح الخاصة لـ GitLab ، وقد نُقل عنه قوله: "لم أر شركة كبيرة تتعامل مع بنيتها التحتية باستخدام ممارسات غريبة كهذه". عندما طرحت شركة TechCrunch أسئلة محددة حول الحادث ، أو لإثبات أنه كان فقط لاختبار البيئات ، رفضت Samsung.
هذا مجرد مثال آخر على كيفية زيادة أهمية الممارسات الأمنية المناسبة هذه الأيام حيث تجد التكنولوجيا طريقها إلى كل جانب من جوانب حياتنا.
التدريب العملي على Google Nest Hub Max: برنامج رائع متعدد الإمكانات لمنزلك الذكي
قد نربح عمولة للمشتريات باستخدام روابطنا. أعرف أكثر.
