Echipa de securitate ASUS a avut în mod clar o lună proastă în martie. Au apărut noi acuzații de încălcări grave de securitate de către angajații companiei, de data aceasta implicând GitHub. Vestea vine în urma unui scandal care implică răspândirea vulnerabilităților prin serverele oficiale Live Update.
Un analist de securitate de la SchizoDuckie a contactat Techcrunch pentru a împărtăși detalii despre o altă defecțiune de securitate pe care a descoperit-o în firewall-ul ASUS. Potrivit acestuia, compania a publicat în mod eronat parolele proprii ale angajaților în depozitele de pe GitHub. Drept urmare, a obținut acces la e-mailul intern al companiei, unde angajații au schimbat link-uri către versiunile timpurii de aplicații, drivere și instrumente.
Contul i-a aparținut unui inginer care ar fi lăsat-o deschis cel puțin un an. SchizoDuckie a mai raportat că a descoperit parole interne ale companiei publicate pe GitHub în conturile altor doi ingineri de la producătorul taiwanez. Sursa a distribuit jurnaliştilor capturi de ecran care confirmă concluziile sale, deşi imaginile în sine nu au fost publicate.
Este de remarcat faptul că aceasta este o vulnerabilitate complet diferită față de atacul anterior, în care hackerii au obținut acces la serverele ASUS și au modificat software-ul oficial prin încorporarea unei uși din spate în el (după care ASUS i-a adăugat un certificat de autenticitate și a început să distribuie). aceasta prin canale oficiale). Dar, în acest caz, a fost descoperită o defecțiune de securitate care ar putea expune compania la riscul unor atacuri similare.
„Companiile nu au idee ce fac programatorii lor cu codul lor de pe GitHub”, a spus SchizoDuckie. ASUS a spus că nu poate verifica afirmațiile specialistului, dar examinează în mod activ toate sistemele pentru a elimina amenințările cunoscute de pe serverele sale și software-ul de suport și pentru a se asigura că nu există scurgeri de date.
Astfel de probleme de securitate nu sunt exclusiv pentru ASUS - adesea chiar și companiile foarte mari se găsesc în situații similare legate de neglijența angajaților. Toate acestea arată cât de dificilă este sarcina de a asigura securitatea în infrastructura modernă și cât de ușor este să apară scurgeri de date.
Sursa: 3dnews.ru