Il team di sicurezza ASUS ha chiaramente avuto un brutto mese a marzo. Sono emerse nuove accuse di gravi violazioni della sicurezza da parte di dipendenti dell'azienda, questa volta che coinvolgono GitHub. La notizia arriva sulla scia di uno scandalo che coinvolge la diffusione di vulnerabilità attraverso i server ufficiali di Live Update.
Un analista della sicurezza di SchizoDuckie ha contattato Techcrunch per condividere i dettagli su un'altra falla di sicurezza che ha scoperto nel firewall ASUS. Secondo lui, l’azienda ha erroneamente pubblicato le password dei dipendenti nei repository su GitHub. Di conseguenza, ha ottenuto l'accesso alla posta elettronica interna dell'azienda in cui i dipendenti si scambiavano collegamenti alle prime build di applicazioni, driver e strumenti.
Il conto apparteneva a un ingegnere che, secondo quanto riferito, lo avrebbe lasciato aperto per almeno un anno. SchizoDuckie ha inoltre riferito di aver scoperto password interne all'azienda pubblicate su GitHub negli account di altri due ingegneri del produttore taiwanese. La fonte ha condiviso con i giornalisti degli screenshot che confermano le sue conclusioni, sebbene le immagini stesse non siano state pubblicate.
Vale la pena notare che si tratta di una vulnerabilità completamente diversa rispetto all'attacco precedente, in cui gli hacker sono riusciti ad accedere ai server ASUS e hanno modificato il software ufficiale incorporandovi una backdoor (dopo di che ASUS ha aggiunto un certificato di autenticità e ha iniziato a distribuirlo). attraverso i canali ufficiali). Ma in questo caso è stata scoperta una falla di sicurezza che potrebbe esporre l’azienda al rischio di attacchi simili.
"Le aziende non hanno idea di cosa stiano facendo i loro programmatori con il loro codice su GitHub", ha affermato SchizoDuckie. ASUS ha affermato di non poter verificare le affermazioni dello specialista, ma sta esaminando attivamente tutti i sistemi per rimuovere le minacce conosciute dai suoi server e dal software di supporto e per garantire che non vi siano perdite di dati.
Tali problemi di sicurezza non riguardano esclusivamente ASUS: spesso anche aziende molto grandi si trovano in situazioni simili legate alla negligenza dei dipendenti. Tutto ciò dimostra quanto sia difficile il compito di garantire la sicurezza nelle infrastrutture moderne e quanto sia facile che si verifichino fughe di dati.
Fonte: 3dnews.ru