ماه مارس به وضوح ماه خوبی برای تیم امنیتی ایسوس نبود. ادعاهای جدیدی مبنی بر نقض امنیتی جدی توسط کارمندان شرکت منتشر شد، این بار مربوط به گیتهاب. این خبر در پی رسوایی مربوط به توزیع آسیبپذیریها از طریق سرورهای رسمی Live Update منتشر شد.
یک تحلیلگر امنیتی از SchizoDuckie با Techcrunch تماس گرفت تا جزئیاتی در مورد نقص امنیتی دیگری که در فایروال ایسوس کشف کرده بود، به اشتراک بگذارد. او ادعا میکند که این شرکت به اشتباه رمزهای عبور کارمندان را در مخازن GitHub منتشر کرده است. در نتیجه، او به ایمیلهای داخلی شرکت دسترسی پیدا کرده است که در آن کارمندان لینکهایی را به نسخههای اولیه برنامهها، درایورها و ابزارها رد و بدل میکردند.
این حساب کاربری متعلق به مهندسی بود که طبق گزارشها حداقل به مدت یک سال آن را باز گذاشته بود. شیزوداکی همچنین از یافتن رمزهای عبور داخلی شرکت که در گیتهاب منتشر شده بود، در حسابهای کاربری دو مهندس دیگر در این تولیدکننده تایوانی خبر داد. این منبع تصاویری را با خبرنگاران به اشتراک گذاشت که یافتههای او را تأیید میکرد، اگرچه خود تصاویر منتشر نشده بودند.
شایان ذکر است که این یک آسیبپذیری کاملاً متفاوت از حمله قبلی است که در آن هکرها به سرورهای ایسوس دسترسی پیدا کردند و نرمافزار رسمی را برای جاسازی یک در پشتی تغییر دادند (ایسوس سپس یک گواهی اصالت به آن اضافه کرد و شروع به توزیع آن از طریق کانالهای رسمی کرد). با این حال، در این مورد، یک نقص امنیتی کشف شد که میتواند شرکت را در معرض حملات مشابه قرار دهد.
شیزوداکی گفت: «شرکتها هیچ ایدهای ندارند که برنامهنویسانشان با کدهایشان در گیتهاب چه میکنند.» ایسوس اظهار داشت که نمیتواند ادعاهای این متخصص را تأیید کند، اما به طور فعال تمام سیستمها را بررسی میکند تا تهدیدات شناخته شده را از سیستمهای خود حذف کند. سرورها و نرمافزارهای کمکی، و اطمینان حاصل شود که هیچ نشت اطلاعاتی وجود ندارد.
چنین مسائل امنیتی مختص ایسوس نیست - حتی شرکتهای بزرگ نیز اغلب به دلیل سهلانگاری کارمندان خود را در موقعیتهای مشابه مییابند. این نشان دهنده پیچیدگی تضمین امنیت در زیرساختهای مدرن و سهولت وقوع نشت دادهها است.
منبع: 3dnews.ru
