华硕内网密码泄露是偶然？几个月前就被警告存在黑客入侵风险

据德顺网络了解，关于华硕内网密码泄露事件，近日外媒报道称，两个月前就有一位安全研究员发出警告，称华硕员工在GitHub存储库中发布密码是不正确的，这些密码可能被用来访问该公司的企业网络。

其中一个密码是在员工共享的一个Repo中发现的，通过该密码可以访问到华硕内部开发人员和工程师使用的一个电子邮件帐户，以便向电脑所有者共享每晚构建的应用、驱动和工具。该Repo的所有者是华硕的一名工程师，他将该电子邮件账户的密码公开了至少一年。该GitHub账户仍然存在，但Repo已被彻底清除。

“这是一个自动化版本每日发布的邮箱”研究人员表示。邮箱中的电子邮件包含存储驱动程序和文件的确切内部网络路径。

研究人员没有测试访问到账户能给他带来多大的好处，但警告说这样可以很容易访问到其内部网络。他表示:“你所需要做的就是将其中一封带有附件的电子邮件发送给任何人，进行一次真正漂亮的钓鱼网络攻击。”

这明显是一个安全漏洞，可能会让华硕面临类似或其他攻击的风险。安全公司卡巴斯基(Kaspersky) 也曾在1月31日警告华硕(Asus)，黑客在华硕的实时更新(Asus Live Update)应用程序中安装了后门。该应用程序是用美国反垄断协会(Asus)颁发的证书签署的，托管在华硕的下载服务器上。据研究人员估计，有超过100万的用户被推送回写代码。华硕在一份声明中证实了此次攻击，并发布了一个补丁。

研究人员曾通过华硕的邮箱警告过华硕暴露的证书。六天后，他无法再登录这个邮箱，并认为问题已经解决。但他发现，华硕至少还有两起工程师在GitHub页面上泄露公司密码的案例。

华硕中国台湾总部的一位华硕软件架构师在他的GitHub页面上留下了用户名和密码。另一位中国台湾数据工程师的代码中也有泄露过证书。

在我们向华硕发出邮件提醒一天后，包含这些凭证的repos被撤下并清除干净。然而，当记者联系到华硕发言人兰德尔•格里利(Randall Grilli)时，他们表示，华硕“无法核实”该研究员电子邮件中说法的“有效性”。他补充到:“华硕正在积极调查所有系统，以消除我们服务器和支持软件的所有已知风险，并确保没有数据泄露。”

当然，这并非华硕独有的问题。其他公司也因暴露和泄露的证书或硬编码的密钥而面临风险。上周，学者们发现了超过10万个存储加密密钥和其他秘密的公共代理。

最著名的泄密案例之一是优步(Uber)，一名工程师错误地将云密钥留在了GitHub的一个存储库中。当黑客发现并利用这个存储库窃取了5700万用户的数据时，这个存储库就被黑客利用了。优步随后被要求支付1.48亿美元的数据泄露和解金。

但考虑到华硕几个月前就知道了这些问题，而且受到了后门威胁，影响了逾100万用户，本可以处理得更好、更积极的回应此事，但是他没有。

针对此次华硕密码泄露事件您有什么看法？欢迎在评论区交流。