5月9日消息,據(jù)外媒報(bào)道,迪拜網(wǎng)絡(luò)安全公司SpiderSilk的安全研究員莫薩布·侯賽因(Mossab Hussein)最近發(fā)現(xiàn),三星工程師使用的某開發(fā)實(shí)驗(yàn)室泄露了其多個(gè)內(nèi)部項(xiàng)目的高度敏感源代碼、憑證和密鑰,其中包括其SmartThings平臺(tái)項(xiàng)目。
這家電子巨頭將幾十個(gè)內(nèi)部編碼項(xiàng)目留在了三星旗下實(shí)驗(yàn)室Vandev Lab上的GitLab實(shí)例中。這個(gè)實(shí)例被工作人員用來共享三星的各種應(yīng)用、服務(wù)和項(xiàng)目,并為其貢獻(xiàn)代碼。由于這些項(xiàng)目被設(shè)置為“公共”,而且沒有用密碼進(jìn)行適當(dāng)?shù)谋Wo(hù),因此任何人都可以深入查看每個(gè)項(xiàng)目的進(jìn)展,訪問和下載源代碼,從而導(dǎo)致絕密信息泄露。
侯賽因表示,其中一個(gè)項(xiàng)目包含的憑證允許任何人訪問三星工程師正在使用的完整AWS帳戶,里面包括100多個(gè)S3存儲(chǔ)桶,其中包含日志和分析數(shù)據(jù)。
此外,許多文件夾包含三星SmartThings和Bixby服務(wù)的日志和分析數(shù)據(jù),但也有幾名員工公開的、以明文形式存儲(chǔ)的私有GitLab令牌,這使得侯賽因能夠利用42個(gè)公共項(xiàng)目獲得的信息對(duì)另外135個(gè)項(xiàng)目進(jìn)行訪問,包括許多私人項(xiàng)目。
三星宣稱,其中一些文件是用于測試的,但侯賽因?qū)@一說法提出質(zhì)疑,稱在GitLab存儲(chǔ)庫中發(fā)現(xiàn)的源代碼與4月10日在谷歌應(yīng)用店Google Play上發(fā)布的安卓(Android)應(yīng)用程序包含的代碼相同。
這個(gè)應(yīng)用程序已經(jīng)更新過,到目前為止已經(jīng)安裝了1億多次。侯賽因稱:“我有一個(gè)用戶的私密令牌,完全可以訪問GitLab上所有的135個(gè)項(xiàng)目?!边@可能允許他使用工作人員的帳戶進(jìn)行代碼更改。
侯賽因還分享了幾張其相關(guān)發(fā)現(xiàn)的截圖和一段視頻,供人們檢查和驗(yàn)證。公開的GitLab實(shí)例還包含三星SmartThings的iOS和安卓應(yīng)用程序的私有證書。
侯賽因還在泄露文件中發(fā)現(xiàn)了幾份內(nèi)部文件和幻燈片。他說:“真正的威脅在于有人可能獲得對(duì)應(yīng)用程序源代碼這種高級(jí)別的訪問,并在公司不知情的情況下向其注入惡意代碼?!?br/> 侯賽因還稱,通過公開的密匙和令牌,他記錄了大量的訪問權(quán)限,如果被惡意行為者獲得,可能會(huì)導(dǎo)致“災(zāi)難性后果”。
被泄露AWS憑證的屏幕截圖,它允許使用GitLab私有令牌訪問存儲(chǔ)桶
侯賽因是一名白帽黑客和數(shù)據(jù)泄露發(fā)現(xiàn)者,他于4月10日向三星報(bào)告了自己的發(fā)現(xiàn)。在接下來的幾天里,三星開始撤銷AWS憑證,但尚不清楚其余的密鑰和憑證是否被吊銷。
在侯賽因首次披露這個(gè)問題近一個(gè)月后,三星仍未了結(jié)侯賽因的漏洞報(bào)告。
三星發(fā)言人扎克·杜根(Zach Dugan)表示:“最近,一位個(gè)人安全研究員報(bào)告說,我們一個(gè)測試平臺(tái)的安全獎(jiǎng)勵(lì)計(jì)劃存在漏洞。我們迅速撤銷了其報(bào)告測試平臺(tái)的所有密鑰和憑證,雖然我們尚未找到任何外部訪問的證據(jù),但我們目前正在對(duì)此進(jìn)行進(jìn)一步調(diào)查?!?br/> 侯賽因說,三星直到4月30日才撤銷GitLab的私鑰。三星拒絕回答具體問題,也沒有提供任何證據(jù)證明三星擁有的開發(fā)環(huán)境是用于測試的。
侯賽因?qū)?bào)告安全漏洞并不陌生。他最近披露了Blind的一個(gè)易受攻擊的后端數(shù)據(jù)庫。Blind是一家在硅谷員工中頗受歡迎的匿名社交網(wǎng)站,侯賽因發(fā)現(xiàn)一臺(tái)服務(wù)器泄露了科學(xué)期刊巨頭愛思唯爾(Elsevier)的滾動(dòng)用戶密碼列表。
侯賽因稱,三星的數(shù)據(jù)泄露是他迄今最大的發(fā)現(xiàn)。他說:“我還沒有見過這么大的一家公司使用這種奇怪的做法來處理他們的基礎(chǔ)設(shè)施?!?/p>