Samsung допустила утечку исходных кодов и секретных ключей ряда сервисов

5

Samsung допустила утечку исходных кодов и секретных ключей ряда сервисов

Компания разместила десятки своих внутренних проектов в репозитории на GitLab, не позаботившись о должной парольной защите.


Инженеры компании Samsung допустили утечку исходных кодов, секретных ключей и учетных данных ряда проектов техногиганта, включая платформу для управления «умными» домами SmartThings.

Утечку обнаружил специалист по кибербезопасности компании SpiderSilk Моссаб Хуссейн (Mossab Hussein). По его словам, Samsung разместила десятки своих внутренних проектов в репозитории на GitLab, не позаботившись о должной парольной защите. В результате доступ к проектам и исходным кодам мог получить кто угодно.

В одном из случаев проект включал учетные данные для доступа ко всему AWS аккаунту, в том числе более чем сотне S3 бакетов, содержавших журналы и данные аналитики.

По словам Хуссейна, ряд сотрудников Samsung разместили личные токены авторизации в незашифрованном виде, что позволило ему получить доступ не только к логам и аналитическим данным сервисов SmartThings и Bixby, но и к десяткам других проектов, в том числе частным.

Исследователь сообщил Samsung об утечке 10 апреля. Представители техногиганта подтвердили изданию TechCrunch, что все секретные ключи и сертификаты для них уже отозваны. Сейчас компания проверяет, успел ли кто-то воспользоваться утечкой.