Die ASUS-sekuriteitspan het duidelik 'n slegte maand in Maart gehad. Nuwe bewerings van ernstige sekuriteitskendings deur maatskappywerknemers het na vore gekom, hierdie keer met betrekking tot GitHub. Die nuus kom op die hakke van 'n skandaal wat die verspreiding van kwesbaarhede deur amptelike Live Update-bedieners behels.
βn Sekuriteitsontleder van SchizoDuckie het Techcrunch gekontak om besonderhede te deel oor nog βn sekuriteitsfout wat hy in die ASUS-brandmuur ontdek het. Volgens hom het die maatskappy verkeerdelik werknemers se eie wagwoorde in bewaarplekke op GitHub gepubliseer. Gevolglik het hy toegang tot interne maatskappy-e-pos gekry waar werknemers skakels uitgeruil het na vroeΓ« weergawes van toepassings, drywers en gereedskap.
Die rekening het aan 'n ingenieur behoort wat dit glo vir minstens 'n jaar oop gelaat het. SchizoDuckie het ook berig dat hy interne maatskappywagwoorde ontdek het wat op GitHub gepubliseer is in die rekeninge van twee ander ingenieurs by die Taiwanese vervaardiger. Die bron het skermkiekies met joernaliste gedeel wat sy gevolgtrekkings bevestig, hoewel die beelde self nie gepubliseer is nie.
Dit is opmerklik dat dit 'n heeltemal ander kwesbaarheid is in vergelyking met die vorige aanval, waarin kuberkrakers toegang tot ASUS-bedieners verkry en die amptelike sagteware gewysig het deur 'n agterdeur daarin in te sluit (waarna ASUS 'n sertifikaat van egtheid daarby gevoeg het en begin versprei het dit deur amptelike kanale). Maar in hierdie geval is 'n sekuriteitsfout ontdek wat die maatskappy aan die risiko van soortgelyke aanvalle kan blootstel.
βMaatskappye het geen idee wat hul programmeerders met hul kode op GitHub doen nie,β het SchizoDuckie gesΓͺ. ASUS het gesΓͺ hy kan nie die spesialis se eise verifieer nie, maar is besig om alle stelsels aktief te hersien om bekende bedreigings van sy bedieners en ondersteunende sagteware te verwyder, en om te verseker dat daar geen datalekkasies is nie.
Sulke sekuriteitsprobleme is nie uniek aan ASUS nie - dikwels bevind selfs baie groot maatskappye hulself in soortgelyke situasies wat verband hou met die nalatigheid van werknemers. Dit alles wys hoe moeilik die taak is om sekuriteit in moderne infrastruktuur te verseker en hoe maklik dit is vir datalekkasies om te voorkom.
Bron: 3dnews.ru