A equipe de segurança da ASUS claramente teve um mês ruim em março. Surgiram novas alegações de graves violações de segurança por parte de funcionários da empresa, desta vez envolvendo o GitHub. A notícia surge logo após um escândalo envolvendo a disseminação de vulnerabilidades por meio de servidores oficiais do Live Update.
Um analista de segurança da SchizoDuckie contatou o Techcrunch para compartilhar detalhes sobre outra falha de segurança que descobriu no firewall da ASUS. Segundo ele, a empresa publicou por engano as senhas dos próprios funcionários em repositórios do GitHub. Como resultado, ele obteve acesso ao e-mail interno da empresa, onde os funcionários trocavam links para versões iniciais de aplicativos, drivers e ferramentas.
A conta pertencia a um engenheiro que supostamente a deixou aberta por pelo menos um ano. SchizoDuckie também relatou que descobriu senhas internas da empresa publicadas no GitHub nas contas de outros dois engenheiros da fabricante taiwanesa. A fonte compartilhou capturas de tela com jornalistas que confirmam suas conclusões, embora as imagens em si não tenham sido publicadas.
É importante notar que esta é uma vulnerabilidade completamente diferente em comparação com o ataque anterior, no qual hackers obtiveram acesso aos servidores ASUS e modificaram o software oficial incorporando um backdoor nele (após o qual a ASUS adicionou um certificado de autenticidade a ele e começou a distribuir através dos canais oficiais). Mas, neste caso, foi descoberta uma falha de segurança que poderia expor a empresa ao risco de ataques semelhantes.
“As empresas não têm ideia do que seus programadores estão fazendo com seus códigos no GitHub”, disse SchizoDuckie. A ASUS disse que não poderia verificar as afirmações do especialista, mas estava revisando ativamente todos os sistemas para eliminar ameaças conhecidas de seus servidores e software de suporte, e para garantir que não houvesse vazamentos de dados.
Tais problemas de segurança não são exclusivos da ASUS - muitas vezes até mesmo grandes empresas se encontram em situações semelhantes relacionadas à negligência dos funcionários. Tudo isto mostra quão difícil é a tarefa de garantir a segurança nas infra-estruturas modernas e como é fácil ocorrer fugas de dados.
Fonte: 3dnews.ru