У каманды па бяспецы ASUS сакавік відавочна не задаўся. Зьявіліся новыя абвінавачваньні ў сур'ёзных парушэньнях бясьпекі з боку супрацоўнікаў кампаніі, на гэты раз з удзелам GitHub. Навіна паступіла ўслед за скандалам, злучаным з распаўсюджваннем уразлівасцяў праз афіцыйныя серверы Live Update.
Аналітык па бяспецы з SchizoDuckie звязаўся з Techcrunch, каб падзяліцца падрабязнасцямі аб яшчэ адной праломы ў бяспецы, выяўленай ім у брандмаўэры ASUS. Паводле яго слоў, кампанія памылкова публікавала ўласныя паролі супрацоўнікаў у рэпазітарах на GitHub. У выніку ён атрымаў доступ да ўнутранай электроннай пошты кампаніі, дзе супрацоўнікі абменьваліся спасылкамі на раннія зборкі дадаткаў, драйвераў і інструментаў.
Акаўнт належаў інжынеру, які, як паведамляецца, пакідаў яго адкрытым прынамсі на працягу года. SchizoDuckie таксама паведаміў, што выявіў унутраныя паролі кампаніі, апублікаваныя на GitHub ва ўліковых запісах двух іншых інжынераў тайваньскага вытворцы. Крыніца падзялілася з журналістамі скрыншотамі, якія пацвярджаюць яго высновы, хаця самі выявы апублікаваныя не былі.
Варта адзначыць, што гаворка ідзе аб зусім іншай уразлівасці ў параўнанні з папярэднім нападам, у якой хакеры атрымалі доступ да сервераў ASUS і мадыфікавалі афіцыйнае ПА, убудаваўшы ў яго бэкдор (пасля чаго ASUS дадала да яго сертыфікат сапраўднасці і стала распаўсюджваць па афіцыйных каналах). Але ў дадзеным выпадку выяўлена памылка бяспекі, якая магла падвергнуць кампанію рызыцы аналагічных нападаў.
"Кампаніі не маюць ні найменшага паняцця, што іх праграмісты робяць са сваім кодам на GitHub", – сказаў SchizoDuckie. ASUS заявіла, што не можа праверыць заявы адмыслоўца, але актыўна правярае ўсе сістэмы, каб ухіліць вядомыя пагрозы са сваіх сервераў і дапаможнага ПА, а таксама пераканацца ў адсутнасці ўцечак дадзеных.
Падобныя праблемы бяспекі не з'яўляюцца ўнікальнымі для ASUS – нярэдка нават вельмі буйныя кампаніі трапляюць у падобныя сітуацыі, звязаныя з нядбайнасцю супрацоўнікаў. Усё гэта сведчыць аб тым, наколькі складаная задача забеспячэння бяспекі ў сучаснай інфраструктуры і наколькі проста адбываюцца ўцечкі даных.
Крыніца: 3dnews.ru