Web前端开发资源网据外媒《福布斯》报道,一名安全研究员透露,三星Vandev Lab团队的GitLab上的大量敏感信息被无意中泄露给了公众。这些信息包括各种项目的源代码、凭证和密钥。Vandev Lab Gitlab实例是三星员工用来处理各种项目代码的工具,包括SmartThings和Bixby平台。
网络安全机构SpiderSilk的安全研究员Mossab Hussein发现,由于没有任何密码保护,三星的数十个内部项目代码因错误的配置被公开。这意味着任何人都可以访问并下载这些源代码,包括三星智能家居生态系统平台SmartThings的源代码,以及Android和iOS智能家居应用程序的私有证书。其中一款名为SmartThings的应用程序已经在谷歌上下载安装了超过1亿次。
Hussein称,他有一个用户的私人令牌,“可以完全访问该GitLab上的所有135个项目”。这是很严重的事情,因为有了这样的访问权限,攻击者就有可能将恶意代码直接注入SmartThings等应用程序中。
在Hussein于4月10日向他们披露之后,三星撤销了亚马逊网络服务(AWS)凭据,不过Hussein表示,三星还没有关闭漏洞报告,可能仍有修复工作要做。三星一位发言人表示,“我们还没有发现任何外部访问发生的证据”,但三星“目前正在进一步调查此事”。
推荐阅读: