ASUS apsaugos komandai kovo mėn. buvo akivaizdžiai blogas. Pasirodė nauji kaltinimai rimtais įmonės darbuotojų saugumo pažeidimais, šį kartą susiję su GitHub. Šios naujienos kyla dėl skandalo, susijusio su pažeidžiamumų plitimu per oficialius „Live Update“ serverius.
„SchizoDuckie“ saugumo analitikas susisiekė su „Techcrunch“ ir pasidalijo informacija apie kitą saugumo trūkumą, kurį jis aptiko ASUS užkardoje. Anot jo, įmonė per klaidą paskelbė pačių darbuotojų slaptažodžius GitHub saugyklose. Dėl to jis gavo prieigą prie vidinio įmonės el. pašto, kur darbuotojai keitėsi nuorodomis į ankstyvas programų, tvarkyklių ir įrankių versijas.
Sąskaita priklausė inžinieriui, kuris, kaip pranešama, paliko ją atidarytą mažiausiai metams. SchizoDuckie taip pat pranešė, kad jis aptiko vidinius įmonės slaptažodžius, paskelbtus „GitHub“, kitų dviejų Taivano gamintojo inžinierių paskyrose. Šaltinis su žurnalistais pasidalijo ekrano nuotraukomis, kurios patvirtina jo išvadas, nors patys vaizdai nebuvo publikuoti.
Verta paminėti, kad tai yra visiškai kitoks pažeidžiamumas, palyginti su ankstesne ataka, kai įsilaužėliai gavo prieigą prie ASUS serverių ir modifikavo oficialią programinę įrangą, įterpdami į ją užpakalines duris (po to ASUS pridėjo autentiškumo sertifikatą ir pradėjo platinti oficialiais kanalais). Tačiau šiuo atveju buvo aptiktas saugumo trūkumas, dėl kurio bendrovei gali kilti panašių atakų rizika.
„Įmonės neįsivaizduoja, ką jų programuotojai daro su savo kodu GitHub“, – sakė SchizoDuckie. ASUS teigė negalinti patikrinti specialisto teiginių, tačiau aktyviai peržiūri visas sistemas, kad pašalintų žinomas grėsmes iš savo serverių ir pagalbinės programinės įrangos bei įsitikintų, kad nėra duomenų nutekėjimo.
Tokios saugumo problemos būdingos ne tik ASUS – dažnai net labai didelės įmonės atsiduria panašiose situacijose, susijusiose su darbuotojų aplaidumu. Visa tai rodo, kaip sudėtinga užduotis užtikrinti saugumą šiuolaikinėje infrastruktūroje ir kaip lengvai gali nutekėti duomenys.
Šaltinis: 3dnews.ru