ASUS անվտանգության թիմն ակնհայտորեն վատ ամիս է ունեցել մարտ ամսին: Ընկերության աշխատակիցների կողմից անվտանգության լուրջ խախտումների մասին նոր մեղադրանքներ են ի հայտ եկել, այս անգամ GitHub-ի հետ կապված: Լուրը գալիս է պաշտոնական Live Update սերվերների միջոցով խոցելիության տարածման հետ կապված սկանդալի հետևանքով:
SchizoDuckie-ի անվտանգության վերլուծաբանը կապ հաստատեց Techcrunch-ի հետ՝ մանրամասներ հաղորդելու անվտանգության մեկ այլ թերության մասին, որը նա հայտնաբերել է ASUS firewall-ում: Նրա խոսքով՝ ընկերությունը սխալմամբ հրապարակել է աշխատակիցների սեփական գաղտնաբառերը GitHub-ի պահեստներում։ Արդյունքում, նա մուտք գործեց ընկերության ներքին էլփոստի հասցե, որտեղ աշխատակիցները հղումներ էին փոխանակում հավելվածների, դրայվերների և գործիքների վաղ նախագծման համար:
Հաշիվը պատկանել է մի ինժեների, որը, ըստ տեղեկությունների, այն բաց է թողել առնվազն մեկ տարի: SchizoDuckie-ն նաև հայտնել է, որ ինքը հայտնաբերել է GitHub-ում հրապարակված ներքին ընկերության գաղտնաբառերը թայվանական արտադրողի երկու այլ ինժեներների հաշիվներում: Աղբյուրը լրագրողների հետ կիսվել է սքրինշոթներով, որոնք հաստատում են նրա եզրակացությունները, թեև նկարներն իրենք չեն հրապարակվել։
Հարկ է նշել, որ սա բոլորովին այլ խոցելիություն է՝ համեմատած նախորդ հարձակման հետ, որի ժամանակ հաքերները մուտք են գործել ASUS սերվերներ և փոփոխել պաշտոնական ծրագրակազմը՝ դրանում ներդնելով հետին դուռ (որից հետո ASUS-ը դրան ավելացրել է իսկության վկայագիր և սկսել է տարածել։ դա պաշտոնական ալիքներով): Բայց այս դեպքում հայտնաբերվեց անվտանգության թերություն, որը կարող էր ընկերությանը ենթարկել նմանատիպ հարձակումների վտանգի:
«Ընկերությունները գաղափար չունեն, թե ինչ են անում իրենց ծրագրավորողները GitHub-ում իրենց կոդով», - ասաց SchizoDuckie-ն: ASUS-ն ասաց, որ չի կարող ստուգել մասնագետի պնդումները, սակայն ակտիվորեն վերանայում է բոլոր համակարգերը՝ իր սերվերներից և օժանդակ ծրագրաշարից հայտնի սպառնալիքները վերացնելու և տվյալների արտահոսք չլինելու համար:
Անվտանգության նման խնդիրները եզակի չեն ASUS-ի համար. հաճախ նույնիսկ շատ խոշոր ընկերությունները հայտնվում են նմանատիպ իրավիճակներում՝ կապված աշխատակիցների անփութության հետ: Այս ամենը ցույց է տալիս, թե որքան դժվար է ժամանակակից ենթակառուցվածքում անվտանգության ապահովման խնդիրը և որքան հեշտ է տվյալների արտահոսքի առաջացումը։
Source: 3dnews.ru