ASUS sikkerhetsteam hadde tydeligvis en dårlig måned i mars. Nye påstander om alvorlige sikkerhetsbrudd fra selskapets ansatte har dukket opp, denne gangen involverer GitHub. Nyheten kommer i hælene på en skandale som involverer spredning av sårbarheter gjennom offisielle Live Update-servere.
En sikkerhetsanalytiker fra SchizoDuckie tok kontakt med Techcrunch for å dele detaljer om en annen sikkerhetsfeil han oppdaget i ASUS-brannmuren. Ifølge ham publiserte selskapet feilaktig ansattes egne passord i repositories på GitHub. Som et resultat fikk han tilgang til intern bedrifts-e-post der ansatte utvekslet lenker til tidlige bygg av applikasjoner, drivere og verktøy.
Kontoen tilhørte en ingeniør som angivelig lot den være åpen i minst ett år. SchizoDuckie rapporterte også at han oppdaget interne firmapassord publisert på GitHub i kontoene til to andre ingeniører hos den taiwanske produsenten. Kilden delte skjermbilder med journalister som bekrefter konklusjonene hans, selv om bildene i seg selv ikke ble publisert.
Det er verdt å merke seg at dette er en helt annen sårbarhet sammenlignet med det forrige angrepet, der hackere fikk tilgang til ASUS-servere og modifiserte den offisielle programvaren ved å bygge inn en bakdør i den (hvoretter ASUS la til et autentisitetssertifikat til den og begynte å distribuere det gjennom offisielle kanaler). Men i dette tilfellet ble det oppdaget en sikkerhetsfeil som kunne utsette selskapet for risiko for lignende angrep.
"Bedrifter har ingen anelse om hva programmererne deres gjør med koden deres på GitHub," sa SchizoDuckie. ASUS sa at de ikke kunne verifisere spesialistens påstander, men gjennomgår aktivt alle systemer for å eliminere kjente trusler fra serverne og støtteprogramvaren, og for å sikre at det ikke var noen datalekkasjer.
Slike sikkerhetsproblemer er ikke unike for ASUS – ofte befinner selv veldig store selskaper seg i lignende situasjoner knyttet til uaktsomhet fra ansatte. Alt dette viser hvor vanskelig oppgaven med å sikre sikkerhet er i moderne infrastruktur og hvor lett det er for datalekkasjer å oppstå.
Kilde: 3dnews.ru