Das ASUS-Sicherheitsteam hatte im März eindeutig einen schlechten Monat. Es sind neue Vorwürfe über schwerwiegende Sicherheitsverstöße durch Unternehmensmitarbeiter aufgetaucht, dieses Mal im Zusammenhang mit GitHub. Die Nachricht folgt auf einen Skandal um die Verbreitung von Schwachstellen über offizielle Live-Update-Server.
Ein Sicherheitsanalyst von SchizoDuckie kontaktierte Techcrunch, um Einzelheiten zu einer weiteren Sicherheitslücke mitzuteilen, die er in der ASUS-Firewall entdeckt hatte. Ihm zufolge hat das Unternehmen fälschlicherweise die eigenen Passwörter der Mitarbeiter in Repositories auf GitHub veröffentlicht. Dadurch erhielt er Zugriff auf unternehmensinterne E-Mails, in denen Mitarbeiter Links zu frühen Versionen von Anwendungen, Treibern und Tools austauschten.
Das Konto gehörte einem Ingenieur, der es Berichten zufolge mindestens ein Jahr lang offen ließ. SchizoDuckie berichtete außerdem, dass er in den Konten zweier anderer Ingenieure des taiwanesischen Herstellers auf GitHub veröffentlichte unternehmensinterne Passwörter entdeckt habe. Die Quelle teilte den Journalisten Screenshots mit, die seine Schlussfolgerungen bestätigten, obwohl die Bilder selbst nicht veröffentlicht wurden.
Es ist erwähnenswert, dass dies eine völlig andere Schwachstelle im Vergleich zum vorherigen Angriff ist, bei dem Hacker Zugriff auf ASUS-Server erlangten und die offizielle Software durch die Einbettung einer Hintertür modifizierten (anschließend fügte ASUS ein Echtheitszertifikat hinzu und begann mit der Verbreitung). es über offizielle Kanäle). Doch in diesem Fall wurde eine Sicherheitslücke entdeckt, die das Unternehmen dem Risiko ähnlicher Angriffe aussetzen könnte.
„Unternehmen haben keine Ahnung, was ihre Programmierer mit ihrem Code auf GitHub machen“, sagte SchizoDuckie. ASUS sagte, es könne die Behauptungen des Spezialisten nicht überprüfen, überprüfe jedoch aktiv alle Systeme, um bekannte Bedrohungen von seinen Servern und der unterstützenden Software zu beseitigen und sicherzustellen, dass es keine Datenlecks gebe.
Solche Sicherheitsprobleme treten nicht nur bei ASUS auf – oft befinden sich sogar sehr große Unternehmen in ähnlichen Situationen, die auf die Nachlässigkeit von Mitarbeitern zurückzuführen sind. All dies zeigt, wie schwierig die Gewährleistung der Sicherheit in modernen Infrastrukturen ist und wie leicht es zu Datenlecks kommen kann.
Source: 3dnews.ru