Ekipi i sigurisë ASUS padyshim që pati një muaj të keq në mars. Janë shfaqur akuza të reja për shkelje të rënda të sigurisë nga punonjësit e kompanisë, këtë herë duke përfshirë GitHub. Lajmi vjen pas një skandali që përfshin përhapjen e dobësive përmes serverëve zyrtarë të përditësimit të drejtpërdrejtë.
Një analist sigurie nga SchizoDuckie kontaktoi Techcrunch për të ndarë detaje rreth një tjetër defekti sigurie që ai zbuloi në murin e zjarrit ASUS. Sipas tij, kompania gabimisht publikoi fjalëkalimet e punonjësve në depo në GitHub. Si rezultat, ai fitoi akses në emailet e brendshme të kompanisë ku punonjësit shkëmbyen lidhje me modelet e hershme të aplikacioneve, drejtuesve dhe mjeteve.
Llogaria i përkiste një inxhinieri që thuhet se e la të hapur për të paktën një vit. SchizoDuckie gjithashtu raportoi se ai zbuloi fjalëkalime të brendshme të kompanisë të publikuara në GitHub në llogaritë e dy inxhinierëve të tjerë në prodhuesin tajvanez. Burimi ndau pamjet e ekranit me gazetarët që konfirmojnë përfundimet e tij, megjithëse vetë imazhet nuk u publikuan.
Vlen të përmendet se kjo është një dobësi krejtësisht e ndryshme në krahasim me sulmin e mëparshëm, në të cilin hakerat fituan akses në serverët ASUS dhe modifikuan softuerin zyrtar duke futur një derë të pasme në të (pas së cilës ASUS shtoi një certifikatë autenticiteti në të dhe filloi shpërndarjen përmes kanaleve zyrtare). Por në këtë rast, u zbulua një e metë sigurie që mund ta ekspozonte kompaninë ndaj rrezikut të sulmeve të ngjashme.
“Kompanitë nuk e kanë idenë se çfarë po bëjnë programuesit e tyre me kodin e tyre në GitHub,” tha SchizoDuckie. ASUS tha se nuk mund të verifikonte pretendimet e specialistit, por po shqyrtonte në mënyrë aktive të gjitha sistemet për të hequr kërcënimet e njohura nga serverët e saj dhe softuerin mbështetës dhe për t'u siguruar që nuk kishte rrjedhje të të dhënave.
Probleme të tilla sigurie nuk janë unike për ASUS - shpesh edhe kompani shumë të mëdha e gjejnë veten në situata të ngjashme që lidhen me neglizhencën e punonjësve. E gjithë kjo tregon se sa e vështirë është detyra për të garantuar sigurinë në infrastrukturën moderne dhe sa e lehtë është të ndodhin rrjedhje të dhënash.
Burimi: 3dnews.ru