Zespół ds. bezpieczeństwa ASUSa najwyraźniej miał zły miesiąc w marcu. Pojawiły się nowe zarzuty dotyczące poważnych naruszeń bezpieczeństwa przez pracowników firmy, tym razem dotyczących GitHuba. Wiadomość ta nadeszła po skandalu związanym z rozprzestrzenianiem się luk za pośrednictwem oficjalnych serwerów Live Update.
Analityk bezpieczeństwa ze SchizoDuckie skontaktował się z Techcrunch, aby podzielić się szczegółami na temat kolejnej luki w zabezpieczeniach, którą odkrył w zaporze sieciowej ASUS. Według niego firma omyłkowo opublikowała własne hasła pracowników w repozytoriach na GitHubie. W rezultacie uzyskał dostęp do wewnętrznej poczty e-mail firmy, gdzie pracownicy wymieniali linki do wczesnych wersji aplikacji, sterowników i narzędzi.
Konto należało do inżyniera, który podobno pozostawił je otwarte przez co najmniej rok. SchizoDuckie poinformował również, że odkrył wewnętrzne hasła firmowe opublikowane na GitHubie na kontach dwóch innych inżynierów tajwańskiego producenta. Źródło udostępniło dziennikarzom zrzuty ekranu, które potwierdzają jego wnioski, choć same zdjęcia nie zostały opublikowane.
Warto zaznaczyć, że jest to zupełnie inna luka w porównaniu do poprzedniego ataku, w którym hakerzy uzyskali dostęp do serwerów ASUS i zmodyfikowali oficjalne oprogramowanie poprzez wbudowanie w nie backdoora (po czym ASUS dodał do niego certyfikat autentyczności i zaczął dystrybuować to oficjalnymi kanałami). Jednak w tym przypadku odkryto lukę w zabezpieczeniach, która mogła narazić firmę na ryzyko podobnych ataków.
„Firmy nie mają pojęcia, co ich programiści robią z kodem w GitHub” – powiedział SchizoDuckie. Firma ASUS stwierdziła, że nie może zweryfikować twierdzeń specjalisty, ale aktywnie sprawdza wszystkie systemy, aby wyeliminować znane zagrożenia ze swoich serwerów i oprogramowania pomocniczego oraz upewnić się, że nie doszło do wycieku danych.
Takie problemy z bezpieczeństwem nie są wyłączną cechą ASUSa – często nawet bardzo duże firmy znajdują się w podobnych sytuacjach związanych z zaniedbaniami pracowników. Wszystko to pokazuje, jak trudne jest zadanie zapewnienia bezpieczeństwa we współczesnej infrastrukturze i jak łatwo o wyciek danych.
Źródło: 3dnews.ru