من الواضح أن فريق الأمن بشركة ASUS واجه شهرًا سيئًا في شهر مارس. ظهرت ادعاءات جديدة بارتكاب انتهاكات أمنية خطيرة من قبل موظفي الشركة، وهذه المرة تتعلق بـGitHub. وتأتي هذه الأخبار في أعقاب فضيحة تنطوي على انتشار نقاط الضعف من خلال خوادم Live Update الرسمية.
اتصل محلل أمني من SchizoDuckie بـ Techcrunch لمشاركة تفاصيل حول ثغرة أمنية أخرى اكتشفها في جدار الحماية ASUS. ووفقا له، نشرت الشركة عن طريق الخطأ كلمات المرور الخاصة بالموظفين في مستودعات على GitHub. ونتيجة لذلك، تمكن من الوصول إلى البريد الإلكتروني الداخلي للشركة حيث تبادل الموظفون الروابط إلى الإصدارات المبكرة من التطبيقات وبرامج التشغيل والأدوات.
وكان الحساب ملكًا لمهندس قيل إنه تركه مفتوحًا لمدة عام على الأقل. أفاد SchizoDuckie أيضًا أنه اكتشف كلمات المرور الداخلية للشركة المنشورة على GitHub في حسابات مهندسين آخرين في الشركة المصنعة التايوانية. وأطلع المصدر الصحفيين على لقطات تؤكد استنتاجاته، على الرغم من عدم نشر الصور نفسها.
تجدر الإشارة إلى أن هذه الثغرة الأمنية مختلفة تمامًا مقارنة بالهجوم السابق، حيث تمكن المتسللون من الوصول إلى خوادم ASUS وقاموا بتعديل البرنامج الرسمي عن طريق تضمين باب خلفي فيه (بعد ذلك أضافت ASUS شهادة مصادقة إليه وبدأت في توزيعه) وذلك عبر القنوات الرسمية). لكن في هذه الحالة تم اكتشاف ثغرة أمنية قد تعرض الشركة لخطر هجمات مماثلة.
قال SchizoDuckie: "ليس لدى الشركات أي فكرة عما يفعله المبرمجون بشفراتهم على GitHub". وقالت ASUS إنها لم تتمكن من التحقق من ادعاءات المتخصص ولكنها كانت تراجع جميع الأنظمة بشكل نشط لإزالة التهديدات المعروفة من خوادمها وبرامجها الداعمة، وللتأكد من عدم وجود تسرب للبيانات.
مثل هذه المشاكل الأمنية ليست فريدة من نوعها بالنسبة لشركة ASUS - فغالبًا ما تجد الشركات الكبيرة جدًا نفسها في مواقف مماثلة تتعلق بإهمال الموظفين. كل هذا يوضح مدى صعوبة مهمة ضمان الأمن في البنية التحتية الحديثة ومدى سهولة حدوث تسرب للبيانات.
المصدر: 3dnews.ru