ASUS sikkerhedsteam havde tydeligvis en dårlig måned i marts. Nye påstande om alvorlige sikkerhedsbrud fra virksomhedens ansatte er dukket op, denne gang involverer GitHub. Nyheden kommer i hælene på en skandale, der involverer spredning af sårbarheder gennem officielle Live Update-servere.
En sikkerhedsanalytiker fra SchizoDuckie kontaktede Techcrunch for at dele detaljer om en anden sikkerhedsfejl, han opdagede i ASUS firewall. Ifølge ham offentliggjorde virksomheden fejlagtigt medarbejdernes egne adgangskoder i repositories på GitHub. Som et resultat fik han adgang til intern virksomheds-e-mail, hvor medarbejdere udvekslede links til tidlige builds af applikationer, drivere og værktøjer.
Kontoen tilhørte en ingeniør, der angiveligt lod den stå åben i mindst et år. SchizoDuckie rapporterede også, at han opdagede interne firmaadgangskoder offentliggjort på GitHub i regnskaberne for to andre ingeniører hos den taiwanske producent. Kilden delte skærmbilleder med journalister, der bekræfter hans konklusioner, selvom selve billederne ikke blev offentliggjort.
Det er værd at bemærke, at dette er en helt anden sårbarhed sammenlignet med det tidligere angreb, hvor hackere fik adgang til ASUS-servere og ændrede den officielle software ved at indlejre en bagdør i den (hvorefter ASUS tilføjede et ægthedscertifikat til det og begyndte at distribuere det gennem officielle kanaler). Men i dette tilfælde blev der opdaget en sikkerhedsfejl, der kunne udsætte virksomheden for risikoen for lignende angreb.
"Virksomheder har ingen idé om, hvad deres programmører laver med deres kode på GitHub," sagde SchizoDuckie. ASUS sagde, at det ikke kunne verificere specialistens påstande, men aktivt gennemgik alle systemer for at eliminere kendte trusler fra sine servere og understøttende software og for at sikre, at der ikke var datalæk.
Sådanne sikkerhedsproblemer er ikke unikke for ASUS – ofte befinder selv meget store virksomheder sig i lignende situationer relateret til medarbejdernes uagtsomhed. Alt dette viser, hvor vanskelig opgaven med at sikre sikkerhed er i moderne infrastruktur, og hvor let det er for datalækager at opstå.
Kilde: 3dnews.ru