Bezpečnostní tým ASUS měl v březnu jednoznačně špatný měsíc. Objevila se nová obvinění z vážného narušení bezpečnosti ze strany zaměstnanců společnosti, tentokrát se týkala GitHubu. Tato zpráva přichází v patách skandálu týkajícího se šíření zranitelnosti prostřednictvím oficiálních serverů Live Update.
Bezpečnostní analytik ze SchizoDuckie kontaktoval Techcrunch, aby se podělil o podrobnosti o další bezpečnostní chybě, kterou objevil v ASUS firewallu. Podle něj společnost omylem zveřejnila vlastní hesla zaměstnanců v úložištích na GitHubu. Díky tomu získal přístup k internímu firemnímu e-mailu, kde si zaměstnanci vyměňovali odkazy na raná sestavení aplikací, ovladačů a nástrojů.
Účet patřil inženýrovi, který ho údajně nechal otevřený minimálně rok. SchizoDuckie také uvedl, že objevil interní firemní hesla zveřejněná na GitHubu v účtech dvou dalších inženýrů tchajwanského výrobce. Zdroj sdílel snímky obrazovky s novináři, které potvrzují jeho závěry, ačkoli samotné snímky nebyly zveřejněny.
Stojí za zmínku, že se jedná o zcela odlišnou zranitelnost ve srovnání s předchozím útokem, při kterém hackeři získali přístup k serverům ASUS a upravili oficiální software vložením zadních vrátek do něj (načež k němu ASUS přidal certifikát pravosti a začal distribuovat prostřednictvím oficiálních kanálů). Jenže v tomto případě byla objevena bezpečnostní chyba, která by mohla společnost vystavit riziku podobných útoků.
„Společnosti nemají ponětí, co jejich programátoři dělají s jejich kódem na GitHubu,“ řekl SchizoDuckie. ASUS uvedl, že nemůže ověřit tvrzení specialisty, ale aktivně kontroluje všechny systémy, aby odstranil známé hrozby ze svých serverů a podpůrného softwaru a aby zajistil, že nedojde k úniku dat.
Podobné bezpečnostní problémy nejsou u ASUSu ojedinělé – do podobných situací souvisejících s nedbalostí zaměstnanců se často dostávají i velmi velké společnosti. To vše ukazuje, jak obtížný je úkol zajistit bezpečnost v moderní infrastruktuře a jak snadno může dojít k úniku dat.
Zdroj: 3dnews.ru