ASUS säkerhetsteam hade helt klart en dålig månad i mars. Nya anklagelser om allvarliga säkerhetsöverträdelser från företagets anställda har dykt upp, denna gång med GitHub. Nyheten kommer efter en skandal som involverar spridning av sårbarheter genom officiella Live Update-servrar.
En säkerhetsanalytiker från SchizoDuckie kontaktade Techcrunch för att dela information om ett annat säkerhetsbrist han upptäckte i ASUS-brandväggen. Enligt honom publicerade företaget av misstag anställdas egna lösenord i arkiv på GitHub. Som ett resultat fick han tillgång till intern företags-e-post där anställda utbytte länkar till tidiga applikationer, drivrutiner och verktyg.
Kontot tillhörde en ingenjör som enligt uppgift lämnade det öppet i minst ett år. SchizoDuckie rapporterade också att han upptäckt interna företagslösenord publicerade på GitHub i konton för två andra ingenjörer hos den taiwanesiska tillverkaren. Källan delade skärmdumpar med journalister som bekräftar hans slutsatser, även om bilderna i sig inte publicerades.
Det är värt att notera att detta är en helt annan sårbarhet jämfört med den tidigare attacken, där hackare fick tillgång till ASUS-servrar och modifierade den officiella programvaran genom att bädda in en bakdörr i den (varefter ASUS lade till ett äkthetscertifikat till den och började distribuera det via officiella kanaler). Men i det här fallet upptäcktes ett säkerhetsbrist som kunde utsätta företaget för risken för liknande attacker.
"Företag har ingen aning om vad deras programmerare gör med sin kod på GitHub," sa SchizoDuckie. ASUS sa att de inte kunde verifiera specialistens påståenden men granskade aktivt alla system för att eliminera kända hot från dess servrar och stödjande programvara, och för att säkerställa att det inte fanns några dataläckor.
Sådana säkerhetsproblem är inte unika för ASUS – ofta befinner sig även mycket stora företag i liknande situationer relaterade till anställdas försumlighet. Allt detta visar hur svår uppgiften att säkerställa säkerheten är i modern infrastruktur och hur lätt det är för dataläckor att uppstå.
Källa: 3dnews.ru