Sigurnosni tim ASUS-a očito je imao loš mjesec u ožujku. Pojavile su se nove tvrdnje o ozbiljnim kršenjima sigurnosti od strane zaposlenika tvrtke, ovaj put vezane uz GitHub. Vijest dolazi nakon skandala koji uključuje širenje ranjivosti putem službenih poslužitelja za ažuriranje uživo.
Sigurnosni analitičar iz SchizoDuckieja kontaktirao je Techcrunch kako bi podijelio detalje o još jednom sigurnosnom propustu koji je otkrio u ASUS vatrozidu. Prema njegovim riječima, tvrtka je greškom objavila vlastite lozinke zaposlenika u repozitoriju na GitHubu. Kao rezultat toga, dobio je pristup internoj tvrtkinoj e-pošti gdje su zaposlenici razmjenjivali veze na rane verzije aplikacija, upravljačkih programa i alata.
Račun je pripadao inženjeru koji ga je navodno ostavio otvorenim najmanje godinu dana. SchizoDuckie je također izvijestio da je otkrio interne lozinke tvrtke objavljene na GitHubu u računima još dva inženjera tajvanskog proizvođača. Izvor je s novinarima podijelio snimke zaslona koje potvrđuju njegove zaključke, iako same slike nisu objavljene.
Vrijedi napomenuti da je ovo potpuno drugačija ranjivost u odnosu na prethodni napad, u kojem su hakeri dobili pristup ASUS poslužiteljima i modificirali službeni softver ugradnjom backdoor-a u njega (nakon čega je ASUS tome dodao certifikat autentičnosti i počeo distribuirati službenim putem). Ali u ovom slučaju otkriven je sigurnosni propust koji bi tvrtku mogao izložiti riziku sličnih napada.
"Tvrtke nemaju pojma što njihovi programeri rade s njihovim kodom na GitHubu", rekao je SchizoDuckie. ASUS je rekao da ne može potvrditi tvrdnje stručnjaka, ali aktivno pregledava sve sustave kako bi eliminirao poznate prijetnje sa svojih poslužitelja i pratećeg softvera, te kako bi osigurao da nema curenja podataka.
Takvi sigurnosni problemi nisu jedinstveni za ASUS - često se čak i vrlo velike tvrtke nađu u sličnim situacijama vezanim uz nepažnju zaposlenika. Sve ovo pokazuje koliko je težak zadatak osiguravanja sigurnosti u modernoj infrastrukturi i koliko lako dolazi do curenja podataka.
Izvor: 3dnews.ru