O equipo de seguridade de ASUS tivo claramente un mal mes en marzo. Xurdiron novas denuncias de graves violacións de seguridade por parte dos empregados da empresa, esta vez implicadas en GitHub. A noticia chega ao paso dun escándalo que implica a propagación de vulnerabilidades a través dos servidores oficiais de Live Update.
Un analista de seguridade de SchizoDuckie contactou con Techcrunch para compartir detalles sobre outro fallo de seguridade que descubriu no firewall de ASUS. Segundo el, a empresa publicou por erro os propios contrasinais dos empregados nos repositorios de GitHub. Como resultado, tivo acceso ao correo electrónico interno da empresa onde os empregados intercambiaban ligazóns ás primeiras versións de aplicacións, controladores e ferramentas.
A conta pertencía a un enxeñeiro que, segundo os informes, deixou aberta polo menos un ano. SchizoDuckie tamén informou de que descubriu contrasinais internos da empresa publicados en GitHub nas contas doutros dous enxeñeiros do fabricante taiwanés. A fonte compartiu con xornalistas capturas de pantalla que confirman as súas conclusións, aínda que as imaxes en si non foron publicadas.
Cabe sinalar que esta é unha vulnerabilidade completamente diferente en comparación co ataque anterior, no que os piratas informáticos accederon aos servidores de ASUS e modificaron o software oficial incrustando nela unha porta traseira (despois de que ASUS engadiulle un certificado de autenticidade e comezou a distribuílo). a través das canles oficiais). Pero neste caso, descubriuse un fallo de seguridade que podería expor á empresa ao risco de ataques similares.
"As empresas non teñen idea do que están a facer os seus programadores co seu código en GitHub", dixo SchizoDuckie. ASUS dixo que non podía verificar as afirmacións do especialista, pero que estaba revisando activamente todos os sistemas para eliminar as ameazas coñecidas dos seus servidores e do software de apoio, e para asegurarse de que non houbese fugas de datos.
Estes problemas de seguridade non son exclusivos de ASUS; moitas veces, incluso as empresas moi grandes atópanse en situacións similares relacionadas coa neglixencia dos empregados. Todo isto mostra o difícil que é a tarefa de garantir a seguridade nas infraestruturas modernas e o fácil que é que se produzan fugas de datos.
Fonte: 3dnews.ru