Bezpečnostný tím ASUS mal v marci jednoznačne zlý mesiac. Objavili sa nové obvinenia zo závažných porušení bezpečnosti zo strany zamestnancov spoločnosti, ktoré sa tentokrát týkajú GitHubu. Správa prichádza v pätách škandálu so šírením zraniteľností prostredníctvom oficiálnych serverov Live Update.
Bezpečnostný analytik zo SchizoDuckie kontaktoval Techcrunch, aby sa podelil o podrobnosti o ďalšej bezpečnostnej chybe, ktorú objavil vo firewalle ASUS. Podľa neho spoločnosť omylom zverejnila vlastné heslá zamestnancov v úložiskách na GitHub. V dôsledku toho získal prístup k internému firemnému e-mailu, kde si zamestnanci vymieňali odkazy na skoré verzie aplikácií, ovládačov a nástrojov.
Účet patril inžinierovi, ktorý ho údajne nechal otvorený najmenej rok. SchizoDuckie tiež oznámil, že objavil interné firemné heslá zverejnené na GitHub v účtoch dvoch ďalších inžinierov taiwanského výrobcu. Zdroj sa podelil s novinármi o snímky obrazovky, ktoré potvrdzujú jeho závery, hoci samotné obrázky neboli zverejnené.
Stojí za zmienku, že ide o úplne inú zraniteľnosť v porovnaní s predchádzajúcim útokom, pri ktorom hackeri získali prístup k serverom ASUS a upravili oficiálny softvér tak, že doň vložili zadné vrátka (po čom ASUS pridal certifikát pravosti a začal distribuovať prostredníctvom oficiálnych kanálov). No v tomto prípade bola objavená bezpečnostná chyba, ktorá by mohla spoločnosť vystaviť riziku podobných útokov.
„Spoločnosti netušia, čo ich programátori robia s ich kódom na GitHub,“ povedal SchizoDuckie. ASUS uviedol, že nemôže overiť tvrdenia špecialistu, ale aktívne kontroluje všetky systémy, aby eliminoval známe hrozby zo svojich serverov a podporného softvéru a zaistil, že nedochádza k úniku údajov.
Takéto bezpečnostné problémy nie sú jedinečné pre ASUS – často sa aj veľmi veľké spoločnosti ocitajú v podobných situáciách súvisiacich s nedbalosťou zamestnancov. To všetko ukazuje, aká náročná je úloha zabezpečiť bezpečnosť v modernej infraštruktúre a ako ľahko môže dôjsť k úniku dát.
Zdroj: 3dnews.ru