ASUS பொறியாளர்கள் பல மாதங்களாக GitHub இல் உள்ளக கடவுச்சொற்களை திறந்து வைத்திருந்தனர்

மார்ச் மாதம் ASUS பாதுகாப்பு குழுவிற்கு ஒரு நல்ல மாதமாக இல்லை என்பது தெளிவாகிறது. நிறுவன ஊழியர்களால் கடுமையான பாதுகாப்பு மீறல்கள் பற்றிய புதிய குற்றச்சாட்டுகள் எழுந்தன, இந்த முறை GitHub சம்பந்தப்பட்டது. அதிகாரப்பூர்வ லைவ் அப்டேட் சேவையகங்கள் மூலம் பாதிப்புகளைப் பரப்புவது தொடர்பான ஒரு ஊழலின் பின்னணியில் இந்த செய்தி வந்துள்ளது.

SchizoDuckie-வைச் சேர்ந்த ஒரு பாதுகாப்பு ஆய்வாளர், ASUS-இன் ஃபயர்வாலில் கண்டறிந்த மற்றொரு பாதுகாப்பு குறைபாடு குறித்த விவரங்களைப் பகிர்ந்து கொள்ள Techcrunch-ஐத் தொடர்பு கொண்டார். நிறுவனம் ஊழியர்களின் கடவுச்சொற்களை GitHub களஞ்சியங்களில் தவறாக வெளியிட்டதாக அவர் கூறுகிறார். இதன் விளைவாக, பயன்பாடுகள், இயக்கிகள் மற்றும் கருவிகளின் ஆரம்பகால கட்டமைப்புகளுக்கான இணைப்புகளை ஊழியர்கள் பரிமாறிக் கொள்ளும் உள் நிறுவன மின்னஞ்சல்களுக்கான அணுகலைப் பெற்றார்.

ASUS பொறியாளர்கள் பல மாதங்களாக GitHub இல் உள்ளக கடவுச்சொற்களை திறந்து வைத்திருந்தனர்

இந்தக் கணக்கு ஒரு பொறியாளருக்குச் சொந்தமானது, அவர் அதை குறைந்தது ஒரு வருடமாவது திறந்து வைத்திருந்ததாகக் கூறப்படுகிறது. தைவானிய உற்பத்தியாளரான GitHub இல் வெளியிடப்பட்ட உள் நிறுவன கடவுச்சொற்களை மற்ற இரண்டு பொறியாளர்களின் கணக்குகளில் கண்டறிந்ததாகவும் SchizoDuckie தெரிவித்துள்ளது. படங்கள் வெளியிடப்படவில்லை என்றாலும், தனது கண்டுபிடிப்புகளை உறுதிப்படுத்தும் ஸ்கிரீன் ஷாட்களை அந்த ஆதாரம் செய்தியாளர்களுடன் பகிர்ந்து கொண்டது.

இது முந்தைய தாக்குதலை விட முற்றிலும் மாறுபட்ட பாதிப்பு என்பது குறிப்பிடத்தக்கது, இதில் ஹேக்கர்கள் ASUS சேவையகங்களை அணுகி, அதிகாரப்பூர்வ மென்பொருளை ஒரு பின்கதவில் உட்பொதிக்க மாற்றியமைத்தனர் (பின்னர் ASUS அதில் ஒரு நம்பகத்தன்மைச் சான்றிதழைச் சேர்த்து, அதிகாரப்பூர்வ சேனல்கள் மூலம் அதை விநியோகிக்கத் தொடங்கியது). இருப்பினும், இந்த விஷயத்தில், நிறுவனத்தை இதே போன்ற தாக்குதல்களுக்கு ஆளாக்கக்கூடிய ஒரு பாதுகாப்பு குறைபாடு கண்டுபிடிக்கப்பட்டது.


ASUS பொறியாளர்கள் பல மாதங்களாக GitHub இல் உள்ளக கடவுச்சொற்களை திறந்து வைத்திருந்தனர்

"நிறுவனங்களுக்கு தங்கள் நிரலாளர்கள் GitHub இல் தங்கள் குறியீட்டை என்ன செய்கிறார்கள் என்பது தெரியாது," என்று SchizoDuckie கூறினார். நிபுணரின் கூற்றுக்களை சரிபார்க்க முடியவில்லை என்றும், ஆனால் அதன் அமைப்புகளிலிருந்து அறியப்பட்ட அச்சுறுத்தல்களை அகற்ற அனைத்து அமைப்புகளையும் தீவிரமாகச் சரிபார்த்து வருவதாகவும் ASUS கூறியது. சேவையகங்கள் மற்றும் துணை மென்பொருள், மற்றும் தரவு கசிவுகள் இல்லை என்பதை உறுதி செய்யவும்.

இத்தகைய பாதுகாப்பு சிக்கல்கள் ASUS நிறுவனத்திற்கு மட்டும் உரியவை அல்ல - பெரிய நிறுவனங்கள் கூட ஊழியர்களின் அலட்சியத்தால் இதே போன்ற சூழ்நிலைகளில் அடிக்கடி சிக்கிக் கொள்கின்றன. நவீன உள்கட்டமைப்பில் பாதுகாப்பை உறுதி செய்வதில் உள்ள சிக்கலான தன்மையையும், தரவு கசிவுகள் ஏற்படுவதற்கான எளிமையையும் இது நிரூபிக்கிறது.




ஆதாரம்: 3dnews.ru
DDoS பாதுகாப்பு, VPS VDS சர்வர்கள் கொண்ட தளங்களுக்கு நம்பகமான ஹோஸ்டிங் வாங்கவும் 🔥 DDoS பாதுகாப்புடன் கூடிய நம்பகமான இணையதள ஹோஸ்டிங், VPS, VDS சர்வர்களை வாங்குங்கள் | ProHoster