ASUS коопсуздук командасы март айында жаман ай болду. Компаниянын кызматкерлери тарабынан коопсуздуктун олуттуу бузулушу боюнча жаңы айыптоолор пайда болду, бул жолу GitHub катышты. Бул жаңылык расмий Live Update серверлери аркылуу алсыздыктын жайылышы менен байланышкан чатактан кийин келди.
SchizoDuckie компаниясынын коопсуздук боюнча талдоочусу ASUS брандмауэринде тапкан дагы бир коопсуздук кемчилиги тууралуу маалымат бөлүшүү үчүн Techcrunch менен байланышты. Анын айтымында, компания GitHub репозиторийлерине кызматкерлердин жеке сырсөздөрүн жаңылыштык менен жарыялаган. Натыйжада, ал компаниянын ички электрондук почтасына кирүү мүмкүнчүлүгүнө ээ болду, анда кызматкерлер тиркемелердин, драйверлердин жана куралдардын алгачкы түзүлүшүнө шилтемелер менен алмашышты.
Аккаунт инженерге таандык болгон, ал аны кеминде бир жыл ачык калтырган. SchizoDuckie ошондой эле GitHub сайтында жарыяланган компаниянын ички сырсөздөрүн Тайвандык өндүрүүчүнүн башка эки инженеринин эсебинде тапканын билдирди. Булак журналисттер менен анын корутундусун тастыктаган скриншоттор менен бөлүштү, бирок сүрөттөрдүн өзү жарыяланган эмес.
Белгилей кетсек, бул мурунку чабуулга салыштырмалуу такыр башка аялуу, мында хакерлер ASUS серверлерине кирүү мүмкүнчүлүгүнө ээ болуп, ага бэкдорду киргизүү менен расмий программалык камсыздоону өзгөртүшкөн (андан кийин ASUS ага аныктык сертификатын кошуп, тарата баштаган. расмий каналдар аркылуу). Бирок бул учурда, компанияны ушул сыяктуу чабуулдардын коркунучуна дуушар кыла турган коопсуздук кемчилиги табылган.
"Компаниялар алардын программисттери GitHubдагы коддору менен эмне кылып жатканын билишпейт" деди SchizoDuckie. ASUS адистин дооматтарын текшере албасын, бирок анын серверлеринен жана колдоочу программалык камсыздоодон белгилүү болгон коркунучтарды жок кылуу жана маалымат агып кетпеши үчүн бардык системаларды жигердүү карап жатканын билдирди.
Мындай коопсуздук көйгөйлөрү ASUSга гана таандык эмес – көбүнчө өтө чоң компаниялар да кызматкерлердин шалаакылыгынан улам ушундай жагдайларга туш болушат. Мунун баары заманбап инфраструктурада коопсуздукту камсыздоо милдети канчалык татаал экенин жана маалыматтардын агып кетиши канчалык оңой экенин көрсөтүп турат.
Source: 3dnews.ru