5月9日消息,据外媒报道,迪拜网络安全公司SpiderSilk的安全研究员莫萨布·侯赛因(Mossab Hussein)最近发现,三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥,其中包括其SmartThings平台项目。
这家电子巨头将几十个内部编码项目留在了三星旗下实验室Vandev Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目,并为其贡献代码。由于这些项目被设置为“公共”,而且没有用密码进行适当的保护,因此任何人都可以深入查看每个项目的进展,访问和下载源代码,从而导致绝密信息泄露。
侯赛因表示,其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户,里面包括100多个S3存储桶,其中包含日志和分析数据。
此外,许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,但也有几名员工公开的、以明文形式存储的私有GitLab令牌,这使得侯赛因能够利用42个公共项目获得的信息对另外135个项目进行访问,包括许多私人项目。
三星宣称,其中一些文件是用于测试的,但侯赛因对这一说法提出质疑,称在GitLab存储库中发现的源代码与4月10日在谷歌应用店Google Play上发布的安卓(Android)应用程序包含的代码相同。
这个应用程序已经更新过,到目前为止已经安装了1亿多次。侯赛因称:“我有一个用户的私密令牌,完全可以访问GitLab上所有的135个项目。”这可能允许他使用工作人员的帐户进行代码更改。
侯赛因还分享了几张其相关发现的截图和一段视频,供人们检查和验证。公开的GitLab实例还包含三星SmartThings的iOS和安卓应用程序的私有证书。
侯赛因还在泄露文件中发现了几份内部文件和幻灯片。他说:“真正的威胁在于有人可能获得对应用程序源代码这种高级别的访问,并在公司不知情的情况下向其注入恶意代码。”
侯赛因还称,通过公开的密匙和令牌,他记录了大量的访问权限,如果被恶意行为者获得,可能会导致“灾难性后果”。
被泄露AWS凭证的屏幕截图,它允许使用GitLab私有令牌访问存储桶
侯赛因是一名白帽黑客和数据泄露发现者,他于4月10日向三星报告了自己的发现。在接下来的几天里,三星开始撤销AWS凭证,但尚不清楚其余的密钥和凭证是否被吊销。
在侯赛因首次披露这个问题近一个月后,三星仍未了结侯赛因的漏洞报告。
三星发言人扎克·杜根(Zach Dugan)表示:“最近,一位个人安全研究员报告说,我们一个测试平台的安全奖励计划存在漏洞。我们迅速撤销了其报告测试平台的所有密钥和凭证,虽然我们尚未找到任何外部访问的证据,但我们目前正在对此进行进一步调查。”
侯赛因说,三星直到4月30日才撤销GitLab的私钥。三星拒绝回答具体问题,也没有提供任何证据证明三星拥有的开发环境是用于测试的。
侯赛因对报告安全漏洞并不陌生。他最近披露了Blind的一个易受攻击的后端数据库。Blind是一家在硅谷员工中颇受欢迎的匿名社交网站,侯赛因发现一台服务器泄露了科学期刊巨头爱思唯尔(Elsevier)的滚动用户密码列表。
侯赛因称,三星的数据泄露是他迄今最大的发现。他说:“我还没有见过这么大的一家公司使用这种奇怪的做法来处理他们的基础设施。”