ASUS drošības komandai martā bija slikts mēnesis. Ir parādījušies jauni apgalvojumi par nopietniem uzņēmuma darbinieku drošības pārkāpumiem, šoreiz saistībā ar GitHub. Ziņas nāk uz papēžiem skandālam, kas saistīts ar ievainojamību izplatīšanos caur oficiāliem Live Update serveriem.
Drošības analītiķis no SchizoDuckie sazinājās ar Techcrunch, lai dalītos ar informāciju par citu drošības trūkumu, ko viņš atklāja ASUS ugunsmūrī. Pēc viņa teiktā, uzņēmums GitHub krātuvēs kļūdaini publicēja pašu darbinieku paroles. Rezultātā viņš ieguva piekļuvi uzņēmuma iekšējam e-pastam, kurā darbinieki apmainījās ar saitēm uz lietojumprogrammu, draiveru un rīku agrīnajām versijām.
Konts piederēja inženierim, kurš, kā ziņots, atstāja to atvērtu vismaz gadu. SchizoDuckie arī ziņoja, ka viņš atklāja uzņēmuma iekšējās paroles, kas publicētas vietnē GitHub divu citu Taivānas ražotāja inženieru kontos. Avots kopīgoja ekrānšāviņus ar žurnālistiem, kas apstiprina viņa secinājumus, lai gan paši attēli netika publicēti.
Ir vērts atzīmēt, ka šī ir pilnīgi atšķirīga ievainojamība salīdzinājumā ar iepriekšējo uzbrukumu, kurā hakeri ieguva piekļuvi ASUS serveriem un modificēja oficiālo programmatūru, iegulstot tajā aizmugures durvis (pēc tam ASUS pievienoja tai autentiskuma sertifikātu un sāka izplatīt to pa oficiāliem kanāliem). Taču šajā gadījumā tika atklāts drošības trūkums, kas varētu pakļaut uzņēmumu līdzīgu uzbrukumu riskam.
"Uzņēmumiem nav ne jausmas, ko viņu programmētāji dara ar savu kodu vietnē GitHub," sacīja ŠizoDukijs. ASUS paziņoja, ka nevar pārbaudīt speciālista apgalvojumus, taču aktīvi pārbauda visas sistēmas, lai novērstu zināmos draudus no saviem serveriem un atbalsta programmatūras un nodrošinātu, ka nav datu noplūdes.
Šādas drošības problēmas nav raksturīgas tikai ASUS – bieži vien pat ļoti lieli uzņēmumi nonāk līdzīgās situācijās saistībā ar darbinieku nolaidību. Tas viss parāda, cik sarežģīts uzdevums ir nodrošināt drošību mūsdienu infrastruktūrā un cik viegli var rasties datu noplūdes.
Avots: 3dnews.ru