ASUSe turvameeskonnal oli märtsis selgelt halb kuu. Ilmunud on uued süüdistused ettevõtte töötajate tõsiste turvarikkumiste kohta, seekord puudutab see GitHubi. Uudised tulevad skandaali kannul, mis hõlmab haavatavuste levikut ametlike Live Update serverite kaudu.
SchizoDuckie turbeanalüütik võttis Techcrunchiga ühendust, et jagada üksikasju teise turvavea kohta, mille ta ASUSe tulemüüris avastas. Tema sõnul avaldas ettevõte GitHubi hoidlates ekslikult töötajate enda paroolid. Selle tulemusena sai ta juurdepääsu ettevõttesisesele e-postile, kus töötajad vahetasid linke rakenduste, draiverite ja tööriistade varajaste versioonide juurde.
Konto kuulus insenerile, kes väidetavalt jättis selle avatuks vähemalt aastaks. SchizoDuckie teatas ka, et avastas GitHubis avaldatud ettevõttesisesed paroolid Taiwani tootja kahe teise inseneri kontodel. Allikas jagas ajakirjanikega ekraanipilte, mis kinnitavad tema järeldusi, kuigi pilte ise ei avaldatud.
Väärib märkimist, et tegemist on hoopis teistsuguse haavatavusega võrreldes eelmise rünnakuga, mille käigus häkkerid said juurdepääsu ASUSe serveritele ja modifitseerisid ametlikku tarkvara, manustades sinna tagaukse (mille järel ASUS lisas sellele autentsussertifikaadi ja hakkas levitama seda ametlike kanalite kaudu). Kuid sel juhul avastati turvaviga, mis võib ettevõttele sarnaste rünnakute ohtu seada.
"Ettevõtetel pole aimugi, mida nende programmeerijad oma koodiga GitHubis teevad, " ütles SchizoDuckie. ASUS teatas, et ei saa spetsialisti väiteid kontrollida, kuid vaatab aktiivselt üle kõik süsteemid, et eemaldada teadaolevad ohud oma serveritest ja tugitarkvarast ning tagada andmelekete puudumine.
Sellised turvaprobleemid pole ASUSele ainuomased – sageli satuvad ka väga suured ettevõtted end sarnastesse olukordadesse, mis on seotud töötajate hooletusega. Kõik see näitab, kui keeruline on turvalisuse tagamise ülesanne tänapäevases infrastruktuuris ja kui lihtne on andmelekke tekkimine.
Allikas: 3dnews.ru