Het ASUS-beveiligingsteam had in maart duidelijk een slechte maand. Er zijn nieuwe beschuldigingen van ernstige veiligheidsschendingen door werknemers van het bedrijf naar voren gekomen, dit keer met betrekking tot GitHub. Het nieuws volgt op een schandaal rond de verspreiding van kwetsbaarheden via officiële Live Update-servers.
Een beveiligingsanalist van SchizoDuckie nam contact op met Techcrunch om details te delen over een ander beveiligingslek dat hij ontdekte in de ASUS-firewall. Volgens hem heeft het bedrijf per ongeluk de eigen wachtwoorden van werknemers gepubliceerd in repositories op GitHub. Als gevolg hiervan kreeg hij toegang tot de interne bedrijfs-e-mail waar werknemers links uitwisselden naar vroege builds van applicaties, stuurprogramma's en tools.
De rekening was eigendom van een ingenieur die deze naar verluidt minstens een jaar open had gelaten. SchizoDuckie meldde ook dat hij interne bedrijfswachtwoorden ontdekte die op GitHub waren gepubliceerd in de accounts van twee andere ingenieurs bij de Taiwanese fabrikant. De bron deelde screenshots met journalisten die zijn conclusies bevestigen, al zijn de beelden zelf niet gepubliceerd.
Het is vermeldenswaard dat dit een heel andere kwetsbaarheid is vergeleken met de vorige aanval, waarbij hackers toegang kregen tot ASUS-servers en de officiële software aanpasten door er een achterdeur in te integreren (waarna ASUS er een certificaat van echtheid aan toevoegde en begon met het verspreiden van via officiële kanalen). Maar in dit geval werd er een beveiligingsfout ontdekt die het bedrijf zou kunnen blootstellen aan het risico van soortgelijke aanvallen.
“Bedrijven hebben geen idee wat hun programmeurs doen met hun code op GitHub”, zegt SchizoDuckie. ASUS zei dat het de beweringen van de specialist niet kon verifiëren, maar was actief alle systemen aan het beoordelen om bekende bedreigingen van zijn servers en ondersteunende software te verwijderen en om ervoor te zorgen dat er geen datalekken waren.
Dergelijke beveiligingsproblemen zijn niet uniek voor ASUS - vaak bevinden zelfs zeer grote bedrijven zich in soortgelijke situaties die verband houden met de nalatigheid van werknemers. Dit alles laat zien hoe moeilijk het is om de veiligheid te garanderen in de moderne infrastructuur en hoe gemakkelijk datalekken kunnen optreden.
Bron: 3dnews.ru