三星目前正在调查一起大规模的数据泄露事件,该事件可能导致包括Bixby和SmartThings在内的多个项目的源代码被泄露给外部各方。
当我们谈到数据泄露时,我们通常会认为这家公司是黑客的受害者,但事实证明,在三星的案例中,这只是疏忽大意。与用户名、电子邮件和密码不同,数据泄漏涉及到一些应用程序的源代码。这可能只是冰山一角。
最好的情况是,门虽然打开了,但没有人知道他们可以利用这些资源。最坏的情况是,有些人不仅可以访问Bixby和SmartThings的源代码,还可以访问其他一些项目。
只是一些老掉牙的粗心大意
这个问题是由SpiderSilk的安全研究员Mossab Hussein发现的。他注意到GitLab上实际上有很多三星的项目可供使用。开发人员经常将他们的工作保留在这种类型的服务上,但他们应该受密码保护。
可能有些开发人员已经厌倦了在处理项目时必须不断输入密码并删除它。问题是,公司外部的人可能下载了这些包含专有数据的项目。
Mossab Hussein获得的访问权限比几个项目要一致得多。研究人员设法找到了以明文形式存储的私有GitLab令牌,这打开了更多的大门。事实上,其中一个令牌允许他访问超过135个项目,其中许多项目实际上是私有的。
还有几个额外的问题。一些怀有恶意的人可能利用访问权限向应用程序中注入恶意软件。其他公司也有可能获得专有代码。
更糟糕的是,Mossab Hussein在4月10日通知了三星这个问题,但是三星在超过20天的时间里都没有承认。当然,证书被吊销,三星表示,据他们所知,他们没有发现任何篡改或访问的证据。