Η ομάδα ασφαλείας της ASUS είχε σαφώς έναν κακό μήνα τον Μάρτιο. Νέες καταγγελίες για σοβαρές παραβιάσεις ασφαλείας από υπαλλήλους της εταιρείας έχουν προκύψει, αυτή τη φορά που αφορά το GitHub. Η είδηση έρχεται μετά από ένα σκάνδαλο που αφορούσε τη διάδοση τρωτών σημείων μέσω των επίσημων διακομιστών του Live Update.
Ένας αναλυτής ασφαλείας από το SchizoDuckie επικοινώνησε με την Techcrunch για να μοιραστεί λεπτομέρειες σχετικά με ένα άλλο ελάττωμα ασφαλείας που ανακάλυψε στο τείχος προστασίας της ASUS. Σύμφωνα με τον ίδιο, η εταιρεία δημοσίευσε κατά λάθος τους κωδικούς πρόσβασης των εργαζομένων σε αποθετήρια στο GitHub. Ως αποτέλεσμα, απέκτησε πρόσβαση στο εσωτερικό email της εταιρείας όπου οι εργαζόμενοι αντάλλαξαν συνδέσμους με πρώιμες εκδόσεις εφαρμογών, προγραμμάτων οδήγησης και εργαλείων.
Ο λογαριασμός ανήκε σε έναν μηχανικό που φέρεται να τον άφησε ανοιχτό για τουλάχιστον ένα χρόνο. Ο SchizoDuckie ανέφερε επίσης ότι ανακάλυψε εσωτερικούς κωδικούς πρόσβασης της εταιρείας που δημοσιεύτηκαν στο GitHub στους λογαριασμούς δύο άλλων μηχανικών στον Ταϊβανέζο κατασκευαστή. Η πηγή μοιράστηκε στιγμιότυπα οθόνης με δημοσιογράφους που επιβεβαιώνουν τα συμπεράσματά του, αν και οι ίδιες οι εικόνες δεν δημοσιεύθηκαν.
Αξίζει να σημειωθεί ότι πρόκειται για μια εντελώς διαφορετική ευπάθεια σε σύγκριση με την προηγούμενη επίθεση, κατά την οποία οι χάκερ απέκτησαν πρόσβαση στους διακομιστές ASUS και τροποποίησαν το επίσημο λογισμικό ενσωματώνοντας μια κερκόπορτα σε αυτό (μετά την οποία η ASUS πρόσθεσε πιστοποιητικό αυθεντικότητας σε αυτό και άρχισε να διανέμει μέσω επίσημων καναλιών). Αλλά σε αυτή την περίπτωση, ανακαλύφθηκε ένα ελάττωμα ασφαλείας που θα μπορούσε να εκθέσει την εταιρεία στον κίνδυνο παρόμοιων επιθέσεων.
«Οι εταιρείες δεν έχουν ιδέα τι κάνουν οι προγραμματιστές τους με τον κώδικά τους στο GitHub», είπε ο SchizoDuckie. Η ASUS είπε ότι δεν μπορούσε να επαληθεύσει τους ισχυρισμούς του ειδικού, αλλά εξετάζει ενεργά όλα τα συστήματα για να αφαιρέσει γνωστές απειλές από τους διακομιστές και το λογισμικό υποστήριξης της και να διασφαλίσει ότι δεν υπάρχουν διαρροές δεδομένων.
Τέτοια προβλήματα ασφαλείας δεν είναι μοναδικά για την ASUS - συχνά ακόμη και πολύ μεγάλες εταιρείες βρίσκονται σε παρόμοιες καταστάσεις που σχετίζονται με την αμέλεια των εργαζομένων. Όλα αυτά δείχνουν πόσο περίπλοκο είναι το έργο της διασφάλισης της ασφάλειας στη σύγχρονη υποδομή και πόσο εύκολο είναι να προκύψουν διαρροές δεδομένων.
Πηγή: 3dnews.ru