Tim keamanan ASUS jelas mengalami bulan buruk di bulan Maret. Tuduhan baru mengenai pelanggaran keamanan serius yang dilakukan oleh karyawan perusahaan telah muncul, kali ini melibatkan GitHub. Berita ini muncul setelah skandal yang melibatkan penyebaran kerentanan melalui server resmi Live Update.
Seorang analis keamanan dari SchizoDuckie menghubungi Techcrunch untuk berbagi rincian tentang kelemahan keamanan lain yang ia temukan di firewall ASUS. Menurutnya, perusahaan secara keliru menerbitkan kata sandi karyawannya di repositori di GitHub. Hasilnya, ia memperoleh akses ke email internal perusahaan tempat karyawan bertukar tautan ke aplikasi, driver, dan alat versi awal.
Akun tersebut milik seorang insinyur yang dilaporkan membiarkannya terbuka setidaknya selama satu tahun. SchizoDuckie juga melaporkan bahwa dia menemukan kata sandi internal perusahaan yang dipublikasikan di GitHub di akun dua insinyur lain di pabrikan Taiwan. Sumber tersebut membagikan tangkapan layar kepada jurnalis yang mengonfirmasi kesimpulannya, meski gambar itu sendiri tidak dipublikasikan.
Perlu dicatat bahwa ini adalah kerentanan yang sangat berbeda dibandingkan dengan serangan sebelumnya, di mana peretas memperoleh akses ke server ASUS dan memodifikasi perangkat lunak resmi dengan menyematkan pintu belakang ke dalamnya (setelah itu ASUS menambahkan sertifikat keaslian ke dalamnya dan mulai mendistribusikan melalui jalur resmi). Namun dalam kasus ini, ditemukan kelemahan keamanan yang dapat membuat perusahaan terkena risiko serangan serupa.
βPerusahaan tidak tahu apa yang dilakukan programmer mereka dengan kode mereka di GitHub,β kata SchizoDuckie. ASUS mengatakan pihaknya tidak dapat memverifikasi klaim spesialis tersebut tetapi secara aktif meninjau semua sistem untuk menghilangkan ancaman yang diketahui dari server dan perangkat lunak pendukungnya, dan untuk memastikan tidak ada kebocoran data.
Masalah keamanan seperti itu tidak hanya terjadi di ASUS - seringkali bahkan perusahaan yang sangat besar pun mengalami situasi serupa terkait dengan kelalaian karyawan. Semua ini menunjukkan betapa sulitnya tugas memastikan keamanan dalam infrastruktur modern dan betapa mudahnya terjadinya kebocoran data.
Sumber: 3dnews.ru