Az ASUS biztonsági csapatának egyértelműen rossz hónapja volt márciusban. Új vádak merültek fel a cég alkalmazottai által elkövetett súlyos biztonsági megsértésekről, ezúttal a GitHubról. A hír egy botrányról szól, amely a sebezhetőségek hivatalos Live Update szervereken keresztüli terjedésével jár.
A SchizoDuckie biztonsági elemzője felvette a kapcsolatot a Techcrunch-szal, hogy megosszon részleteket egy másik biztonsági hibáról, amelyet az ASUS tűzfalában fedezett fel. Elmondása szerint a cég tévedésből tette közzé az alkalmazottak saját jelszavát a GitHub adattáraiban. Ennek eredményeként hozzáférhetett a vállalaton belüli e-mailekhez, ahol az alkalmazottak hivatkozásokat cseréltek az alkalmazások, illesztőprogramok és eszközök korai buildjére.
A számla egy mérnöké volt, aki állítólag legalább egy évig nyitva hagyta. SchizoDuckie arról is beszámolt, hogy a GitHubon közzétett belső vállalati jelszavakat fedezte fel a tajvani gyártó két másik mérnökének fiókjában. A forrás képernyőképeket osztott meg az újságírókkal, amelyek megerősítik következtetéseit, bár magukat a képeket nem tették közzé.
Érdemes megjegyezni, hogy ez egy teljesen más biztonsági rés az előző támadáshoz képest, amelyben a hackerek hozzáfértek az ASUS szervereihez, és egy hátsó ajtó beágyazásával módosították a hivatalos szoftvert (ezt követően az ASUS hitelesítési tanúsítvánnyal egészítette ki, és elkezdte terjeszteni hivatalos csatornákon keresztül). De ebben az esetben egy biztonsági hibát fedeztek fel, amely hasonló támadások kockázatának teheti ki a vállalatot.
„A cégeknek fogalmuk sincs, mit csinálnak a programozóik a GitHubon található kódjukkal” – mondta SchizoDuckie. Az ASUS közölte, hogy nem tudja ellenőrizni a szakember állításait, de aktívan átvizsgálja az összes rendszert, hogy eltávolítsa az ismert fenyegetéseket a szervereiről és a támogató szoftverekről, és megbizonyosodjon arról, hogy nincs adatszivárgás.
Az ilyen biztonsági problémák nem egyediek az ASUS-nál – gyakran még a nagyon nagy cégek is hasonló helyzetbe kerülnek az alkalmazottak hanyagsága miatt. Mindez azt mutatja, hogy a modern infrastruktúrában mennyire összetett feladat a biztonság garantálása, és milyen könnyen előfordulhat adatszivárgás.
Forrás: 3dnews.ru