L'équipe de sécurité d'ASUS a clairement connu un mauvais mois de mars. De nouvelles allégations de violations graves de la sécurité par des employés de l'entreprise ont émergé, impliquant cette fois GitHub. La nouvelle fait suite à un scandale impliquant la propagation de vulnérabilités via les serveurs officiels Live Update.
Un analyste en sécurité de SchizoDuckie a contacté Techcrunch pour partager des détails sur une autre faille de sécurité qu'il a découverte dans le pare-feu ASUS. Selon lui, l’entreprise a publié par erreur les mots de passe des employés dans des référentiels sur GitHub. En conséquence, il a eu accès à la messagerie interne de l'entreprise, où les employés échangeaient des liens vers les premières versions d'applications, de pilotes et d'outils.
Le compte appartenait à un ingénieur qui l'aurait laissé ouvert pendant au moins un an. SchizoDuckie a également rapporté avoir découvert des mots de passe internes à l'entreprise publiés sur GitHub dans les comptes de deux autres ingénieurs du constructeur taïwanais. La source a partagé des captures d'écran avec des journalistes qui confirment ses conclusions, bien que les images elles-mêmes n'aient pas été publiées.
Il convient de noter qu'il s'agit d'une vulnérabilité complètement différente de celle de l'attaque précédente, dans laquelle des pirates ont accédé aux serveurs ASUS et modifié le logiciel officiel en y intégrant une porte dérobée (après quoi ASUS y a ajouté un certificat d'authenticité et a commencé à distribuer via les canaux officiels). Mais dans ce cas, une faille de sécurité a été découverte qui pourrait exposer l’entreprise à des risques d’attaques similaires.
"Les entreprises n'ont aucune idée de ce que font leurs programmeurs avec leur code sur GitHub", a déclaré SchizoDuckie. ASUS a déclaré qu'il ne pouvait pas vérifier les affirmations du spécialiste, mais qu'il examinait activement tous les systèmes pour supprimer les menaces connues de ses serveurs et des logiciels de support, et pour s'assurer qu'il n'y avait pas de fuite de données.
De tels problèmes de sécurité ne sont pas propres à ASUS - souvent même de très grandes entreprises se retrouvent dans des situations similaires liées à la négligence des employés. Tout cela montre à quel point il est difficile d’assurer la sécurité dans une infrastructure moderne et à quel point il est facile de provoquer des fuites de données.
Source: 3dnews.ru