ASUS təhlükəsizlik komandası mart ayında açıq şəkildə pis bir ay keçirdi. Bu dəfə GitHub-da iştirak edən şirkət işçiləri tərəfindən ciddi təhlükəsizlik pozuntularına dair yeni iddialar ortaya çıxdı. Xəbər rəsmi Live Update serverləri vasitəsilə zəifliklərin yayılması ilə bağlı qalmaqaldan sonra gəlir.
SchizoDuckie-dən təhlükəsizlik analitiki ASUS firewall-da aşkar etdiyi başqa bir təhlükəsizlik qüsuru ilə bağlı təfərrüatları bölüşmək üçün Techcrunch ilə əlaqə saxladı. Onun sözlərinə görə, şirkət işçilərin öz parollarını səhvən GitHub-da depolarda dərc edib. Nəticədə o, işçilərin proqramların, drayverlərin və alətlərin ilkin quruluşlarına keçidlər mübadiləsi apardığı daxili şirkət e-poçtuna giriş əldə etdi.
Hesabın ən azı bir il açıq qaldığı bir mühəndisə məxsus olduğu bildirilir. SchizoDuckie həmçinin GitHub-da dərc olunan şirkət daxili parollarını Tayvan istehsalçısının digər iki mühəndisinin hesablarında aşkar etdiyini bildirdi. Mənbə, şəkillərin özləri dərc edilməsə də, onun gəldiyi qənaəti təsdiqləyən skrinşotları jurnalistlərlə paylaşıb.
Qeyd etmək lazımdır ki, bu, hakerlərin ASUS serverlərinə giriş əldə etdiyi və arxa qapı yerləşdirməklə rəsmi proqram təminatını dəyişdirdiyi əvvəlki hücumla müqayisədə tamamilə fərqli bir zəiflikdir (bundan sonra ASUS ona orijinallıq sertifikatı əlavə etdi və yaymağa başladı. rəsmi kanallar vasitəsilə). Lakin bu halda, şirkəti oxşar hücumlar riskinə məruz qoya biləcək bir təhlükəsizlik qüsuru aşkar edildi.
SchizoDuckie, "Şirkətlərin proqramçılarının GitHub-dakı kodları ilə nə etdikləri barədə heç bir məlumatı yoxdur" dedi. ASUS, mütəxəssisin iddialarını yoxlaya bilmədiklərini, lakin serverlərindən və dəstəkləyici proqram təminatından məlum təhlükələri aradan qaldırmaq və məlumat sızmasının olmadığından əmin olmaq üçün bütün sistemləri aktiv şəkildə nəzərdən keçirdiyini söylədi.
Bu cür təhlükəsizlik problemləri ASUS-a xas deyil - çox vaxt hətta çox böyük şirkətlər işçilərin səhlənkarlığı ilə bağlı oxşar vəziyyətlərdə olurlar. Bütün bunlar müasir infrastrukturda təhlükəsizliyin təmin edilməsi vəzifəsinin nə qədər mürəkkəb olduğunu və məlumat sızmasının nə qədər asan olduğunu göstərir.
Mənbə: 3dnews.ru