“更令人担心的是,这些文件让我拥有了几个内部员工的私人令牌。我完全可以用它访问GitLab上的全部135个项目,我甚至可以随意修改账户代码,让其变成我的东西。”
美国科技媒体TechCrunch报道称:
近期,一名信息安全研究员,白帽子Mossab Hussein发现三星工程师使用的开发实验室泄露了包括三星SmartThings敏感的源代码、证书和密钥在内的多个内部项目。
几十个内部编码项目都被留在了三星旗下实验室Vandev Lab上的GitLab实例中。而这个实例被工作人员用来共享三星的各种应用、服务和项目,并为其贡献代码。
由于项目被设置为“公共”,而且没有用密码进行保护,任何人都可以深入查看每个项目的进展,访问和下载源代码。
其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户,里面包括100多个S3存储桶,其中包含日志和分析数据。
对此,尽管三星回复称,泄露的文件有些只是用于内部测试,不会影响到实际的用户体验。
但Mossab Hussein反驳,在GitLab存储库中发现的源代码甚至与4月10日在谷歌应用店Google Play上发布的Android应用程序包含的代码相同。
(这款应用随后又有过升级,到目前为止的安装量已经超过1亿多次。)
值得注意的是:4月10日这个安全问题已经被发现并提出,而在接下来的几天里,三星确实开始撤销AWS凭证。但GitLab的私钥却是在4月30日才被撤销 。
事前不加密,事后要祭天。网络安全问题从来不是小问题,一旦被恶意行为者获得,可能会带来“灾难性后果”。
小心点……