Sigurnosni tim ASUS-a je očigledno imao loš mjesec u martu. Pojavile su se nove optužbe o ozbiljnim kršenjima sigurnosti od strane zaposlenih u kompaniji, ovog puta u vezi s GitHubom. Vijest dolazi nakon skandala koji uključuje širenje ranjivosti putem službenih servera za ažuriranje uživo.
Sigurnosni analitičar iz kompanije SchizoDuckie kontaktirao je Techcrunch kako bi podijelio detalje o još jednom sigurnosnom propustu koji je otkrio u ASUS firewall-u. Prema njegovim riječima, kompanija je greškom objavila vlastite lozinke zaposlenih u spremištima na GitHubu. Kao rezultat toga, dobio je pristup internoj e-pošti kompanije gdje su zaposleni razmjenjivali veze do ranih verzija aplikacija, drajvera i alata.
Račun je pripadao inženjeru koji ga je navodno ostavio otvoren najmanje godinu dana. SchizoDuckie je također izvijestio da je otkrio interne lozinke kompanije objavljene na GitHubu na računima dva druga inženjera tajvanskog proizvođača. Izvor je novinarima podijelio snimke ekrana koji potvrđuju njegove zaključke, iako same slike nisu objavljene.
Vrijedi napomenuti da je ovo potpuno drugačija ranjivost u odnosu na prethodni napad, u kojem su hakeri dobili pristup ASUS serverima i modificirali službeni softver tako što su u njega ugradili backdoor (nakon čega mu je ASUS dodao certifikat o autentičnosti i počeo distribuirati putem zvaničnih kanala). Ali u ovom slučaju otkriven je sigurnosni propust koji bi kompaniju mogao izložiti riziku od sličnih napada.
„Kompanije nemaju pojma šta njihovi programeri rade sa svojim kodom na GitHubu“, rekao je SchizoDuckie. ASUS je saopštio da ne može da potvrdi tvrdnje stručnjaka, ali aktivno pregleda sve sisteme kako bi eliminisao poznate pretnje sa svojih servera i softvera za podršku, i kako bi osigurao da nema curenja podataka.
Ovakvi sigurnosni problemi nisu samo za ASUS – često se čak i velike kompanije nađu u sličnim situacijama vezanim za nemar zaposlenih. Sve ovo pokazuje koliko je težak zadatak obezbjeđivanja sigurnosti u modernoj infrastrukturi i koliko je lako doći do curenja podataka.
izvor: 3dnews.ru