La sekureca teamo de ASUS klare havis malbonan monaton en marto. Aperis novaj akuzoj pri gravaj sekurecaj malobservoj de dungitoj de la kompanio, ĉi-foje implikante GitHub. La novaĵo venas sur la kalkanoj de skandalo implikanta la disvastiĝon de vundeblecoj per oficialaj Live Update-serviloj.
Sekureca analizisto de SchizoDuckie kontaktis Techcrunch por dividi detalojn pri alia sekureca difekto, kiun li malkovris en la fajroŝirmilo de ASUS. Laŭ li, la kompanio erare publikigis la pasvortojn de dungitoj en deponejoj sur GitHub. Kiel rezulto, li akiris aliron al interna kompania retpoŝto kie dungitoj interŝanĝis ligilojn al fruaj konstruoj de aplikoj, ŝoforoj kaj iloj.
La konto apartenis al inĝeniero kiu laŭdire lasis ĝin malfermita dum almenaŭ jaro. SchizoDuckie ankaŭ raportis, ke li malkovris internajn firmaajn pasvortojn publikigitajn sur GitHub en la kontoj de du aliaj inĝenieroj ĉe la tajvana fabrikanto. La fonto dividis ekrankopiojn kun ĵurnalistoj, kiuj konfirmas liajn konkludojn, kvankam la bildoj mem ne estis publikigitaj.
Rimarkindas, ke ĉi tio estas tute alia vundebleco kompare kun la antaŭa atako, en kiu piratoj akiris aliron al ASUS-serviloj kaj modifis la oficialan programaron enkonstruante malantaŭan pordon en ĝin (post kio ASUS aldonis al ĝi atestilon pri aŭtentikeco kaj komencis distribui. ĝin per oficialaj kanaloj). Sed en ĉi tiu kazo, sekureca difekto estis malkovrita, kiu povus elmontri la kompanion al la risko de similaj atakoj.
"Firmaoj ne havas ideon, kion iliaj programistoj faras per sia kodo en GitHub," diris SchizoDuckie. ASUS diris, ke ĝi ne povas kontroli la asertojn de la specialisto, sed aktive revizias ĉiujn sistemojn por forigi konatajn minacojn de siaj serviloj kaj subtena programaro, kaj por certigi, ke ne ekzistas datumfluoj.
Tiaj sekurecproblemoj ne estas unikaj al ASUS - ofte eĉ tre grandaj kompanioj trovas sin en similaj situacioj rilate al la neglektemo de dungitoj. Ĉio ĉi montras kiom malfacila estas la tasko certigi sekurecon en moderna infrastrukturo kaj kiom facile estas ke datumfluoj okazas.
fonto: 3dnews.ru