مهندسان ایسوس رمزهای عبور داخلی را برای ماه ها در GitHub باز نگه داشتند

ماه مارس به وضوح ماه خوبی برای تیم امنیتی ایسوس نبود. ادعاهای جدیدی مبنی بر نقض امنیتی جدی توسط کارمندان شرکت منتشر شد، این بار مربوط به گیت‌هاب. این خبر در پی رسوایی مربوط به توزیع آسیب‌پذیری‌ها از طریق سرورهای رسمی Live Update منتشر شد.

یک تحلیلگر امنیتی از SchizoDuckie با Techcrunch تماس گرفت تا جزئیاتی در مورد نقص امنیتی دیگری که در فایروال ایسوس کشف کرده بود، به اشتراک بگذارد. او ادعا می‌کند که این شرکت به اشتباه رمزهای عبور کارمندان را در مخازن GitHub منتشر کرده است. در نتیجه، او به ایمیل‌های داخلی شرکت دسترسی پیدا کرده است که در آن کارمندان لینک‌هایی را به نسخه‌های اولیه برنامه‌ها، درایورها و ابزارها رد و بدل می‌کردند.

مهندسان ایسوس رمزهای عبور داخلی را برای ماه ها در GitHub باز نگه داشتند

این حساب کاربری متعلق به مهندسی بود که طبق گزارش‌ها حداقل به مدت یک سال آن را باز گذاشته بود. شیزوداکی همچنین از یافتن رمزهای عبور داخلی شرکت که در گیت‌هاب منتشر شده بود، در حساب‌های کاربری دو مهندس دیگر در این تولیدکننده تایوانی خبر داد. این منبع تصاویری را با خبرنگاران به اشتراک گذاشت که یافته‌های او را تأیید می‌کرد، اگرچه خود تصاویر منتشر نشده بودند.

شایان ذکر است که این یک آسیب‌پذیری کاملاً متفاوت از حمله قبلی است که در آن هکرها به سرورهای ایسوس دسترسی پیدا کردند و نرم‌افزار رسمی را برای جاسازی یک در پشتی تغییر دادند (ایسوس سپس یک گواهی اصالت به آن اضافه کرد و شروع به توزیع آن از طریق کانال‌های رسمی کرد). با این حال، در این مورد، یک نقص امنیتی کشف شد که می‌تواند شرکت را در معرض حملات مشابه قرار دهد.


مهندسان ایسوس رمزهای عبور داخلی را برای ماه ها در GitHub باز نگه داشتند

شیزوداکی گفت: «شرکت‌ها هیچ ایده‌ای ندارند که برنامه‌نویسانشان با کدهایشان در گیت‌هاب چه می‌کنند.» ایسوس اظهار داشت که نمی‌تواند ادعاهای این متخصص را تأیید کند، اما به طور فعال تمام سیستم‌ها را بررسی می‌کند تا تهدیدات شناخته شده را از سیستم‌های خود حذف کند. سرورها و نرم‌افزارهای کمکی، و اطمینان حاصل شود که هیچ نشت اطلاعاتی وجود ندارد.

چنین مسائل امنیتی مختص ایسوس نیست - حتی شرکت‌های بزرگ نیز اغلب به دلیل سهل‌انگاری کارمندان خود را در موقعیت‌های مشابه می‌یابند. این نشان دهنده پیچیدگی تضمین امنیت در زیرساخت‌های مدرن و سهولت وقوع نشت داده‌ها است.




منبع: 3dnews.ru
خرید هاست قابل اعتماد برای سایت های دارای حفاظت DDoS، سرورهای VPS VDS 🔥 خرید هاستینگ معتبر با محافظت در برابر حملات DDoS، سرورهای VPS و VDS | ProHoster