Varnostna ekipa ASUS je marca očitno imela slab mesec. Pojavile so se nove obtožbe o resnih kršitvah varnosti s strani zaposlenih v podjetju, tokrat v zvezi z GitHub. Novica prihaja takoj za škandalom, ki vključuje širjenje ranljivosti prek uradnih strežnikov Live Update.
Varnostni analitik iz podjetja SchizoDuckie je kontaktiral Techcrunch, da bi delil podrobnosti o drugi varnostni napaki, ki jo je odkril v požarnem zidu ASUS. Po njegovih besedah je podjetje pomotoma objavilo lastna gesla zaposlenih v repozitorijih na GitHubu. Posledično je dobil dostop do interne elektronske pošte podjetja, kjer so si zaposleni izmenjevali povezave do zgodnjih gradenj aplikacij, gonilnikov in orodij.
Račun je pripadal inženirju, ki naj bi ga pustil odprtega najmanj eno leto. SchizoDuckie je tudi poročal, da je odkril interna gesla podjetja, objavljena na GitHubu, v računih dveh drugih inženirjev pri tajvanskem proizvajalcu. Vir je z novinarji delil posnetke zaslona, ki potrjujejo njegove zaključke, čeprav same slike niso bile objavljene.
Omeniti velja, da gre za popolnoma drugačno ranljivost v primerjavi s prejšnjim napadom, v katerem so hekerji pridobili dostop do strežnikov ASUS in spremenili uradno programsko opremo tako, da so vanjo vdelali stranska vrata (nakar je ASUS dodal potrdilo o pristnosti in začel distribuirati po uradni poti). Toda v tem primeru je bila odkrita varnostna napaka, ki bi lahko podjetje izpostavila tveganju podobnih napadov.
"Podjetja nimajo pojma, kaj njihovi programerji počnejo s svojo kodo na GitHubu," je dejal SchizoDuckie. ASUS je dejal, da ne more preveriti trditev strokovnjaka, vendar aktivno pregleduje vse sisteme, da bi odstranil znane grožnje s svojih strežnikov in podporne programske opreme ter zagotovil, da ni uhajanja podatkov.
Takšne varnostne težave niso edinstvene za ASUS - pogosto se celo zelo velika podjetja znajdejo v podobnih situacijah, povezanih z malomarnostjo zaposlenih. Vse to kaže, kako težka je naloga zagotavljanja varnosti v sodobni infrastrukturi in kako enostavno pride do uhajanja podatkov.
Vir: 3dnews.ru