Pasukan keselamatan ASUS jelas mengalami bulan yang teruk pada bulan Mac. Dakwaan baharu mengenai pelanggaran keselamatan serius oleh pekerja syarikat telah muncul, kali ini melibatkan GitHub. Berita itu datang susulan skandal yang melibatkan penyebaran kelemahan melalui pelayan Kemas Kini Langsung rasmi.
Seorang penganalisis keselamatan dari SchizoDuckie menghubungi Techcrunch untuk berkongsi butiran tentang kecacatan keselamatan lain yang ditemuinya dalam tembok api ASUS. Menurutnya, syarikat itu tersilap menerbitkan kata laluan pekerja sendiri dalam repositori di GitHub. Akibatnya, beliau mendapat akses kepada e-mel dalaman syarikat di mana pekerja bertukar-tukar pautan ke binaan awal aplikasi, pemacu dan alatan.
Akaun itu milik seorang jurutera yang dilaporkan membiarkannya dibuka sekurang-kurangnya setahun. SchizoDuckie juga melaporkan bahawa dia menemui kata laluan syarikat dalaman yang diterbitkan di GitHub dalam akaun dua jurutera lain di pengeluar Taiwan. Sumber itu berkongsi tangkapan skrin dengan wartawan yang mengesahkan kesimpulannya, walaupun imej itu sendiri tidak diterbitkan.
Perlu diingat bahawa ini adalah kelemahan yang sama sekali berbeza berbanding dengan serangan sebelumnya, di mana penggodam mendapat akses kepada pelayan ASUS dan mengubah suai perisian rasmi dengan membenamkan pintu belakang ke dalamnya (selepas itu ASUS menambah sijil ketulenan kepadanya dan mula mengedarkannya. melalui saluran rasmi). Tetapi dalam kes ini, kecacatan keselamatan telah ditemui yang boleh mendedahkan syarikat kepada risiko serangan serupa.
"Syarikat tidak tahu apa yang pengaturcara mereka lakukan dengan kod mereka di GitHub," kata SchizoDuckie. ASUS berkata ia tidak dapat mengesahkan dakwaan pakar tetapi sedang menyemak secara aktif semua sistem untuk mengalih keluar ancaman yang diketahui daripada pelayan dan perisian sokongannya, dan untuk memastikan tiada kebocoran data.
Masalah keselamatan sebegini bukan unik untuk ASUS - selalunya syarikat yang sangat besar mendapati diri mereka berada dalam situasi yang sama berkaitan dengan kecuaian pekerja. Semua ini menunjukkan betapa kompleksnya tugas untuk memastikan keselamatan dalam infrastruktur moden dan betapa mudahnya kebocoran data berlaku.
Sumber: 3dnews.ru