Il mese scorso è stato scoperto che un'istanza GitLab per Vandev Lab, di proprietà di Samsung, non aveva protetto i suoi progetti con una password. Di conseguenza, dozzine di progetti di codifica interna per varie app, servizi e progetti Samsung sono stati resi pubblici, il che a sua volta ha fornito un ulteriore accesso ai progetti Samsung, incluso il suo popolare ecosistema di smart home SmartThings.
Senza proteggere correttamente i progetti con una password, ha dato a chiunque la possibilità di visualizzare il codice sorgente, scaricarlo o persino apportare modifiche.
Un ricercatore di sicurezza di SpiderSilk di nome Mossab Hussein ha scoperto la mancanza di sicurezza il 10 aprile e l'ha riferito a Samsung. Nelle sue scoperte, ha avuto accesso all'intero account AWS tra cui oltre un centinaio di secchi di archiviazione S3 contenenti log e dati analitici.
I registri e le analisi riguardavano i prodotti Samsung come SmartThings e servizi Bixby, nonché i token GitLab privati di diversi dipendenti in testo semplice. Con l'uso di questi token, Saddam Hussein ha potuto accedere tra 45 e 135 progetti pubblici e privati.
Quando ha contattato Samsung, a Hussein è stato detto che alcuni dei file erano destinati al test, ma è stato veloce nel sottolineare il codice sorgente per la versione corrente dell'app SmartThings per Android presente. L'app è stata aggiornata dalla loro conversazione, tuttavia.
La parte più pericolosa di questo accesso è che, con i token GitLab, Hussein avrebbe potuto apportare modifiche al codice Samsung. Ha dichiarato:
La vera minaccia sta nella possibilità che qualcuno acquisisca questo livello di accesso al codice sorgente dell'applicazione e lo inietti con codice dannoso senza che la società lo sappia.
Le credenziali AWS sono state revocate pochi giorni dopo che Hussein aveva contattato Samsung, ma non è stato verificato se le chiavi segrete e i certificati hanno ricevuto un trattamento simile. Allo stato attuale, Samsung non ha ancora chiuso il rapporto sulla vulnerabilità quasi un mese dopo la sua prima segnalazione. Tuttavia, quando gli è stato chiesto un commento, Zach Dugan, un portavoce di Samsung, ha risposto:
Abbiamo rapidamente revocato tutte le chiavi e i certificati per la piattaforma di test segnalata e mentre non abbiamo ancora trovato prove che si sia verificato un accesso esterno, stiamo attualmente esaminando ulteriormente questo.
Secondo Hussein, ci sono voluti fino al 30 aprile per revocare le chiavi private di GitLab, ed è citato dicendo: "Non ho visto un'azienda così grande gestire la propria infrastruttura usando pratiche strane come quella". Quando TechCrunch ha posto domande specifiche sull'incidente, o per prova che era solo per gli ambienti di test, Samsung ha rifiutato.
Questo è solo un altro esempio di come le pratiche di sicurezza adeguate stanno diventando sempre più importanti in questi giorni quando la tecnologia trova la sua strada in ogni aspetto della nostra vita.
Google Nest Hub Max: un all-in-one eccezionale per la tua casa intelligente
Potremmo guadagnare una commissione per gli acquisti utilizzando i nostri link. Per saperne di più.
