ASUS セキュリティ チームにとって、XNUMX 月は明らかに悪い月でした。 同社従業員による重大なセキュリティ違反の新たな疑惑が浮上し、今回は GitHub が関係しています。 このニュースは、公式 Live Update サーバーを介した脆弱性の拡散に関するスキャンダルの直後に発表されました。
SchizoDuckie のセキュリティ アナリストが Techcrunch に連絡し、ASUS ファイアウォールで発見した別のセキュリティ上の欠陥についての詳細を共有しました。 同氏によると、同社は従業員自身のパスワードを誤って GitHub 上のリポジトリに公開したという。 その結果、従業員がアプリケーション、ドライバー、ツールの初期ビルドへのリンクを交換する社内電子メールにアクセスできるようになりました。
このアカウントはエンジニアのもので、少なくともXNUMX年間はアカウントを開いたままにしていたと伝えられている。 SchizoDuckie 氏はまた、この台湾のメーカーの他の XNUMX 人のエンジニアのアカウントで GitHub に公開されている社内パスワードを発見したとも報告しました。 この情報筋は、彼の結論を裏付けるスクリーンショットをジャーナリストと共有したが、画像自体は公開されていなかった。
これは、ハッカーが ASUS サーバーにアクセスし、バックドアを埋め込むことで公式ソフトウェアを改変した以前の攻撃とはまったく異なる脆弱性であることは注目に値します (その後、ASUS はそれに信頼性の証明書を追加して配布を開始しました)公式チャンネルを通じて)。 しかし今回のケースでは、同社が同様の攻撃のリスクにさらされる可能性があるセキュリティ上の欠陥が発見された。
「企業は、自社のプログラマーが GitHub 上のコードで何をしているのか全く知りません」と SchizoDuckie 氏は言います。 ASUSは、専門家の主張を検証することはできないが、サーバーとサポートソフトウェアから既知の脅威を排除し、データ漏洩がないことを確認するためにすべてのシステムを積極的に見直していると述べた。
このようなセキュリティ問題は ASUS に限ったことではありません。非常に大規模な企業であっても、従業員の過失に関連して同様の状況に陥ることがよくあります。 これらすべては、現代のインフラストラクチャにおいてセキュリティを確保するタスクがいかに困難であるか、そしてデータ漏洩がいかに簡単に発生するかを示しています。
出所: 3dnews.ru