El equipo de seguridad de ASUS claramente tuvo un mal mes en marzo. Han surgido nuevas acusaciones de graves violaciones de seguridad por parte de empleados de la empresa, esta vez relacionadas con GitHub. La noticia llega inmediatamente después de un escándalo relacionado con la propagación de vulnerabilidades a través de los servidores oficiales de Live Update.
Un analista de seguridad de SchizoDuckie se puso en contacto con Techcrunch para compartir detalles sobre otra falla de seguridad que descubrió en el firewall de ASUS. Según él, la empresa publicó por error las contraseñas de los empleados en repositorios de GitHub. Como resultado, obtuvo acceso al correo electrónico interno de la empresa donde los empleados intercambiaban enlaces a las primeras versiones de aplicaciones, controladores y herramientas.
La cuenta pertenecía a un ingeniero que, según informes, la dejó abierta durante al menos un año. SchizoDuckie también informó que descubrió contraseñas internas de la empresa publicadas en GitHub en las cuentas de otros dos ingenieros del fabricante taiwanés. La fuente compartió capturas de pantalla con periodistas que confirman sus conclusiones, aunque las imágenes en sí no fueron publicadas.
Vale la pena señalar que esta es una vulnerabilidad completamente diferente en comparación con el ataque anterior, en el que los piratas informáticos obtuvieron acceso a los servidores de ASUS y modificaron el software oficial incrustándole una puerta trasera (después de lo cual ASUS le agregó un certificado de autenticidad y comenzó a distribuirlo). través de canales oficiales). Pero en este caso, se descubrió una falla de seguridad que podría exponer a la empresa al riesgo de ataques similares.
"Las empresas no tienen idea de lo que hacen sus programadores con su código en GitHub", dijo SchizoDuckie. ASUS dijo que no podía verificar las afirmaciones del especialista, pero que estaba revisando activamente todos los sistemas para eliminar amenazas conocidas de sus servidores y software de soporte, y para garantizar que no hubiera fugas de datos.
Estos problemas de seguridad no son exclusivos de ASUS; a menudo, incluso empresas muy grandes se encuentran en situaciones similares relacionadas con la negligencia de los empleados. Todo esto demuestra lo difícil que es garantizar la seguridad en las infraestructuras modernas y lo fácil que es que se produzcan fugas de datos.
Fuente: 3dnews.ru