วิศวกรของ ASUS เปิดรหัสผ่านภายในไว้บน GitHub เป็นเวลาหลายเดือน

เดือนมีนาคมไม่ใช่เดือนที่ดีสำหรับทีมรักษาความปลอดภัยของ ASUS อย่างชัดเจน มีข้อกล่าวหาใหม่เกี่ยวกับการละเมิดความปลอดภัยร้ายแรงโดยพนักงานของบริษัท ซึ่งครั้งนี้เกี่ยวข้องกับ GitHub ข่าวนี้เกิดขึ้นหลังจากเกิดเรื่องอื้อฉาวเกี่ยวกับการเผยแพร่ช่องโหว่ผ่านเซิร์ฟเวอร์ Live Update อย่างเป็นทางการ

นักวิเคราะห์ความปลอดภัยจาก SchizoDuckie ได้ติดต่อ Techcrunch เพื่อแจ้งรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยอีกจุดหนึ่งที่เขาค้นพบในไฟร์วอลล์ของ ASUS เขาอ้างว่าบริษัทได้เผยแพร่รหัสผ่านของพนักงานในคลังข้อมูล GitHub อย่างผิดพลาด ส่งผลให้เขาสามารถเข้าถึงอีเมลภายในบริษัทที่พนักงานแลกเปลี่ยนลิงก์ไปยังเวอร์ชันก่อนหน้าของแอปพลิเคชัน ไดรเวอร์ และเครื่องมือต่างๆ

วิศวกรของ ASUS เปิดรหัสผ่านภายในไว้บน GitHub เป็นเวลาหลายเดือน

บัญชีดังกล่าวเป็นของวิศวกรคนหนึ่งซึ่งมีรายงานว่าเปิดบัญชีทิ้งไว้อย่างน้อยหนึ่งปี SchizoDuckie ยังรายงานด้วยว่าพบรหัสผ่านภายในบริษัทที่เผยแพร่บน GitHub ในบัญชีของวิศวกรอีกสองคนของผู้ผลิตในไต้หวัน แหล่งข่าวได้แชร์ภาพหน้าจอกับผู้สื่อข่าวเพื่อยืนยันการค้นพบของเขา แม้ว่าภาพดังกล่าวจะไม่ได้เผยแพร่ก็ตาม

สิ่งที่น่าสังเกตคือช่องโหว่นี้แตกต่างอย่างสิ้นเชิงจากการโจมตีครั้งก่อน ซึ่งแฮกเกอร์สามารถเข้าถึงเซิร์ฟเวอร์ของ ASUS และดัดแปลงซอฟต์แวร์อย่างเป็นทางการเพื่อฝังแบ็กดอร์ (จากนั้น ASUS ได้เพิ่มใบรับรองความถูกต้องและเริ่มเผยแพร่ผ่านช่องทางอย่างเป็นทางการ) อย่างไรก็ตาม ในกรณีนี้ พบข้อบกพร่องด้านความปลอดภัยที่อาจทำให้บริษัทถูกโจมตีในลักษณะเดียวกันได้


วิศวกรของ ASUS เปิดรหัสผ่านภายในไว้บน GitHub เป็นเวลาหลายเดือน

"บริษัทต่างๆ ไม่รู้เลยว่าโปรแกรมเมอร์ของพวกเขากำลังทำอะไรกับโค้ดบน GitHub" SchizoDuckie กล่าว ASUS ระบุว่าไม่สามารถตรวจสอบข้อกล่าวอ้างของผู้เชี่ยวชาญได้ แต่กำลังตรวจสอบระบบทั้งหมดอย่างจริงจังเพื่อกำจัดภัยคุกคามที่ทราบแล้วออกจากระบบของตน เซิร์ฟเวอร์ และซอฟต์แวร์เสริม และตรวจสอบให้แน่ใจว่าไม่มีการรั่วไหลของข้อมูล

ปัญหาด้านความปลอดภัยเช่นนี้ไม่ได้เกิดขึ้นเฉพาะกับ ASUS เท่านั้น แม้แต่บริษัทขนาดใหญ่ก็มักประสบปัญหาเดียวกันนี้เนื่องจากความประมาทเลินเล่อของพนักงาน สิ่งนี้แสดงให้เห็นถึงความซับซ้อนของการสร้างความมั่นใจด้านความปลอดภัยในโครงสร้างพื้นฐานสมัยใหม่ และความเสี่ยงต่อการรั่วไหลของข้อมูล




ที่มา: 3dnews.ru
ซื้อโฮสติ้งที่เชื่อถือได้สำหรับไซต์ที่มีการป้องกัน DDoS เซิร์ฟเวอร์ VPS VDS 🔥 ซื้อบริการเว็บโฮสติ้งที่เชื่อถือได้ พร้อมระบบป้องกัน DDoS และเซิร์ฟเวอร์ VPS/VDS | ProHoster