تیم امنیتی ASUS به وضوح در ماه مارس ماه بدی را پشت سر گذاشت. اتهامات جدیدی مبنی بر نقض جدی امنیت توسط کارمندان شرکت مطرح شده است که این بار شامل GitHub می شود. این خبر پس از رسوایی مربوط به گسترش آسیب پذیری ها از طریق سرورهای رسمی به روز رسانی زنده منتشر می شود.
یک تحلیلگر امنیتی از SchizoDuckie با Techcrunch تماس گرفت تا جزئیات دیگری را در مورد نقص امنیتی دیگری که در فایروال ASUS کشف کرده است به اشتراک بگذارد. به گفته وی، این شرکت به اشتباه رمز عبور خود کارمندان را در مخازن GitHub منتشر کرده است. در نتیجه، او به ایمیل داخلی شرکت دسترسی پیدا کرد که در آن کارمندان پیوندهایی را به نسخه های اولیه برنامه ها، درایورها و ابزار رد و بدل می کردند.
این حساب متعلق به یک مهندس بود که طبق گزارش ها حداقل یک سال آن را باز گذاشته بود. SchizoDuckie همچنین گزارش داد که رمزهای عبور داخلی شرکت منتشر شده در GitHub را در حساب های دو مهندس دیگر سازنده تایوانی کشف کرده است. این منبع اسکرین شات هایی را با خبرنگاران به اشتراک گذاشت که نتیجه گیری های او را تایید می کند، اگرچه خود تصاویر منتشر نشده بودند.
شایان ذکر است که این یک آسیب پذیری کاملاً متفاوت در مقایسه با حمله قبلی است که در آن هکرها به سرورهای ایسوس دسترسی پیدا کردند و با تعبیه یک درب پشتی نرم افزار رسمی را تغییر دادند (پس از آن ایسوس گواهی اصالت را به آن اضافه کرد و شروع به توزیع کرد. از طریق کانال های رسمی). اما در این مورد، یک نقص امنیتی کشف شد که می تواند شرکت را در معرض خطر حملات مشابه قرار دهد.
SchizoDuckie گفت: "شرکت ها هیچ ایده ای ندارند که برنامه نویسان آنها با کدهای خود در GitHub چه می کنند." ایسوس اعلام کرد که نمی تواند ادعاهای متخصص را تأیید کند اما به طور فعال همه سیستم ها را بررسی می کند تا تهدیدات شناخته شده را از سرورها و نرم افزارهای پشتیبانی کننده خود حذف کند و اطمینان حاصل کند که هیچ گونه نشت داده ای وجود ندارد.
چنین مشکلات امنیتی منحصر به ایسوس نیست - اغلب حتی شرکت های بسیار بزرگ نیز در موقعیت های مشابهی قرار می گیرند که مربوط به سهل انگاری کارمندان است. همه اینها نشان می دهد که کار تضمین امنیت در زیرساخت های مدرن چقدر دشوار است و نشت داده ها چقدر آسان است.
منبع: 3dnews.ru