Mae'n amlwg bod tîm diogelwch ASUS wedi cael mis gwael ym mis Mawrth. Mae honiadau newydd o droseddau diogelwch difrifol gan weithwyr cwmni wedi dod i'r amlwg, y tro hwn yn ymwneud â GitHub. Daw'r newyddion ar sodlau sgandal yn ymwneud â lledaeniad gwendidau trwy weinyddion Live Update swyddogol.
Cysylltodd dadansoddwr diogelwch o SchizoDuckie â Techcrunch i rannu manylion am ddiffyg diogelwch arall a ddarganfuodd yn wal dân ASUS. Yn ôl iddo, fe wnaeth y cwmni gyhoeddi cyfrineiriau'r gweithwyr eu hunain ar gam mewn ystorfeydd ar GitHub. O ganlyniad, cafodd fynediad at e-bost mewnol y cwmni lle cyfnewidiodd gweithwyr gysylltiadau ag adeiladu cymwysiadau, gyrwyr ac offer cynnar.
Roedd y cyfrif yn eiddo i beiriannydd a oedd yn ôl pob sôn wedi ei adael ar agor am o leiaf blwyddyn. Adroddodd SchizoDuckie hefyd iddo ddarganfod cyfrineiriau cwmni mewnol a gyhoeddwyd ar GitHub yng nghyfrifon dau beiriannydd arall yn y gwneuthurwr Taiwan. Rhannodd y ffynhonnell sgrinluniau â newyddiadurwyr sy'n cadarnhau ei gasgliadau, er na chyhoeddwyd y delweddau eu hunain.
Mae'n werth nodi bod hwn yn agored i niwed hollol wahanol o'i gymharu â'r ymosodiad blaenorol, lle cafodd hacwyr fynediad i weinyddion ASUS ac addasu'r feddalwedd swyddogol trwy fewnosod drws cefn iddo (ac ar ôl hynny ychwanegodd ASUS dystysgrif dilysrwydd iddo a dechreuodd ddosbarthu trwy sianeli swyddogol). Ond yn yr achos hwn, darganfuwyd diffyg diogelwch a allai wneud y cwmni'n agored i'r risg o ymosodiadau tebyg.
“Nid oes gan gwmnïau unrhyw syniad beth mae eu rhaglenwyr yn ei wneud gyda’u cod ar GitHub,” meddai SchizoDuckie. Dywedodd ASUS na allai wirio honiadau'r arbenigwr ond ei fod wrthi'n adolygu pob system i ddileu bygythiadau hysbys o'i weinyddion a'i feddalwedd ategol, ac i sicrhau nad oedd unrhyw ollyngiadau data.
Nid yw problemau diogelwch o'r fath yn unigryw i ASUS - yn aml mae hyd yn oed cwmnïau mawr iawn yn cael eu hunain mewn sefyllfaoedd tebyg yn ymwneud ag esgeulustod gweithwyr. Mae hyn i gyd yn dangos pa mor anodd yw'r dasg o sicrhau diogelwch mewn seilwaith modern a pha mor hawdd yw hi i ddata yn gollwng.
Ffynhonnell: 3dnewyddion.ru