Инженеры ASUS месяцами держали открытыми внутренние пароли на GitHub

У команды по безопасности ASUS март явно не задался. Появились новые обвинения в серьёзных нарушениях безопасности со стороны сотрудников компании, на этот раз с участием GitHub. Новость поступила вслед за скандалом, связанным с распространением уязвимостей через официальные серверы Live Update.

Аналитик по безопасности из SchizoDuckie связался с Techcrunch, чтобы поделиться подробностями о ещё одной бреши в безопасности, обнаруженной им в брандмауэре ASUS. По его словам, компания ошибочно публиковала собственные пароли сотрудников в репозиториях на GitHub. В результате он получил доступ к внутренней электронной почте компании, где сотрудники обменивались ссылками на ранние сборки приложений, драйверов и инструментов.

Инженеры ASUS месяцами держали открытыми внутренние пароли на GitHub

Аккаунт принадлежал инженеру, который, как сообщается, оставлял его открытым по крайней мере в течение года. SchizoDuckie также сообщил, что обнаружил внутренние пароли компании, опубликованные на GitHub в учётных записях двух других инженеров тайваньского производителя. Источник поделился с журналистами скриншотами, которые подтверждают его выводы, хотя сами изображения опубликованы не были.

Стоит отметить, что речь идёт о совершенно иной уязвимости по сравнению с предыдущей атакой, в которой хакеры получили доступ к серверам ASUS и модифицировали официальное ПО, встроив в него бэкдор (после чего ASUS добавила к нему сертификат подлинности и стала распространять по официальным каналам). Но в данном случае обнаружена ошибка безопасности, которая могла подвергнуть компанию риску аналогичных атак.


Инженеры ASUS месяцами держали открытыми внутренние пароли на GitHub

«Компании не имеют ни малейшего понятия, что их программисты делают со своим кодом на GitHub», — сказал SchizoDuckie. ASUS заявила, что не может проверить заявления специалиста, но активно проверяет все системы, чтобы устранить известные угрозы со своих серверов и вспомогательного ПО, а также убедиться в отсутствии утечек данных.

Подобные проблемы безопасности не являются уникальными для ASUS — нередко даже весьма крупные компании попадают в сходные ситуации, связанные с небрежностью сотрудников. Всё это говорит о том, насколько сложна задача обеспечения безопасности в современной инфраструктуре и насколько просто происходят утечки данных.




Источник: 3dnews.ru