Ožujak očito nije bio dobar mjesec za ASUS-ov sigurnosni tim. Pojavile su se nove optužbe za ozbiljne sigurnosne propuste od strane zaposlenika tvrtke, ovaj put u vezi s GitHubom. Ova vijest dolazi nakon skandala koji uključuje distribuciju ranjivosti putem službenih Live Update poslužitelja.
Sigurnosni analitičar iz SchizoDuckieja kontaktirao je Techcrunch kako bi podijelio detalje o još jednom sigurnosnom propustu koji je otkrio u ASUS-ovom vatrozidu. Tvrdi da je tvrtka greškom objavila lozinke zaposlenika u GitHub repozitorijima. Kao rezultat toga, dobio je pristup internim e-porukama tvrtke gdje su zaposlenici razmjenjivali poveznice na rane verzije aplikacija, upravljačkih programa i alata.
Račun je pripadao inženjeru koji ga je navodno ostavio otvorenim najmanje godinu dana. SchizoDuckie je također izvijestio da je pronašao interne lozinke tvrtke objavljene na GitHubu u računima dvojice drugih inženjera kod tajvanskog proizvođača. Izvor je podijelio snimke zaslona s novinarima koje potvrđuju njegove nalaze, iako same slike nisu objavljene.
Vrijedi napomenuti da je ovo potpuno drugačija ranjivost od prethodnog napada, u kojem su hakeri dobili pristup ASUS serverima i modificirali službeni softver kako bi ugradili backdoor (ASUS mu je zatim dodao certifikat autentičnosti i počeo ga distribuirati putem službenih kanala). Međutim, u ovom slučaju otkriven je sigurnosni propust koji bi tvrtku mogao izložiti sličnim napadima.
„Tvrtke nemaju pojma što njihovi programeri rade s njihovim kodom na GitHubu“, rekao je SchizoDuckie. ASUS je izjavio da ne može potvrditi tvrdnje stručnjaka, ali aktivno provjerava sve sustave kako bi uklonio poznate prijetnje iz svojih sustava. poslužitelji i pomoćni softver te osigurati da nema curenja podataka.
Takvi sigurnosni problemi nisu jedinstveni za ASUS - čak se i velike tvrtke često nađu u sličnim situacijama zbog nemara zaposlenika. To pokazuje složenost osiguravanja sigurnosti u modernoj infrastrukturi i lakoću s kojom može doći do curenja podataka.
Izvor: 3dnews.ru
