ASUS-tietoturvatiimillä oli selvästi huono kuukausi maaliskuussa. Uusia väitteitä yrityksen työntekijöiden vakavista tietoturvaloukkauksista on ilmaantunut, tällä kertaa GitHubissa. Uutiset tulevat skandaalin kannoilla, jotka liittyvät haavoittuvuuksien leviämiseen virallisten Live Update -palvelimien kautta.
SchizoDuckien tietoturva-analyytikko otti yhteyttä Techcrunchiin jakaakseen tietoja toisesta tietoturvavirheestä, jonka hän löysi ASUS-palomuurista. Hänen mukaansa yritys julkaisi vahingossa työntekijöiden omat salasanat GitHubin arkistoissa. Tämän seurauksena hän sai pääsyn yrityksen sisäisiin sähköposteihin, joissa työntekijät vaihtoivat linkkejä sovellusten, ohjainten ja työkalujen varhaisiin koontiversioihin.
Tili kuului insinöörille, jonka kerrottiin jättäneen sen auki vähintään vuodeksi. SchizoDuckie kertoi myös löytäneensä GitHubissa julkaistut yrityksen sisäiset salasanat taiwanilaisen valmistajan kahden muun insinöörin tileistä. Lähde jakoi toimittajille kuvakaappauksia, jotka vahvistavat hänen johtopäätöksensä, vaikka itse kuvia ei julkaistu.
On syytä huomata, että tämä on täysin erilainen haavoittuvuus verrattuna edelliseen hyökkäykseen, jossa hakkerit pääsivät ASUS-palvelimiin ja muokkasivat virallista ohjelmistoa upottamalla siihen takaoven (jonka jälkeen ASUS lisäsi siihen aitoussertifikaatin ja aloitti jakelun se virallisten kanavien kautta). Mutta tässä tapauksessa havaittiin tietoturvavirhe, joka voi altistaa yrityksen vastaavien hyökkäysten riskille.
"Yrityksillä ei ole aavistustakaan siitä, mitä niiden ohjelmoijat tekevät koodillaan GitHubissa", SchizoDuckie sanoi. ASUS sanoi, että se ei pystynyt vahvistamaan asiantuntijan väitteitä, mutta tarkastelee aktiivisesti kaikkia järjestelmiä poistaakseen tunnetut uhat palvelimistaan ja tukiohjelmistoistaan ja varmistaakseen, ettei tietovuotoja ole.
Tällaiset tietoturvaongelmat eivät ole vain ASUS:lle ominaisia - usein jopa erittäin suuret yritykset joutuvat vastaaviin tilanteisiin työntekijöiden huolimattomuuden vuoksi. Kaikki tämä osoittaa, kuinka vaikeaa turvallisuuden varmistaminen on nykyaikaisessa infrastruktuurissa ja kuinka helppoa tietovuodot ovat.
Lähde: 3dnews.ru