Malinaw na nagkaroon ng masamang buwan ang ASUS security team noong Marso. Ang mga bagong paratang ng malubhang paglabag sa seguridad ng mga empleyado ng kumpanya ay lumitaw, sa pagkakataong ito ay kinasasangkutan ng GitHub. Ang balita ay dumating sa takong ng isang iskandalo na kinasasangkutan ng pagkalat ng mga kahinaan sa pamamagitan ng mga opisyal na server ng Live Update.
Isang security analyst mula sa SchizoDuckie ang nakipag-ugnayan sa Techcrunch para magbahagi ng mga detalye tungkol sa isa pang security flaw na natuklasan niya sa ASUS firewall. Ayon sa kanya, nagkamali ang kumpanya na nag-publish ng mga sariling password ng mga empleyado sa mga repositoryo sa GitHub. Bilang resulta, nakakuha siya ng access sa email ng panloob na kumpanya kung saan ang mga empleyado ay nagpapalitan ng mga link sa mga maagang pagbuo ng mga application, driver at tool.
Ang account ay pagmamay-ari ng isang engineer na iniulat na iniwan itong bukas nang hindi bababa sa isang taon. Iniulat din ni SchizoDuckie na natuklasan niya ang mga panloob na password ng kumpanya na na-publish sa GitHub sa mga account ng dalawang iba pang mga inhinyero sa tagagawa ng Taiwan. Ang source ay nagbahagi ng mga screenshot sa mga mamamahayag na nagpapatunay sa kanyang mga konklusyon, kahit na ang mga larawan mismo ay hindi nai-publish.
Ito ay nagkakahalaga na tandaan na ito ay isang ganap na naiibang kahinaan kumpara sa nakaraang pag-atake, kung saan ang mga hacker ay nakakuha ng access sa mga server ng ASUS at binago ang opisyal na software sa pamamagitan ng pag-embed ng isang backdoor dito (pagkatapos nito ay nagdagdag ang ASUS ng isang sertipiko ng pagiging tunay dito at nagsimulang ipamahagi. ito sa pamamagitan ng mga opisyal na channel). Ngunit sa kasong ito, natuklasan ang isang depekto sa seguridad na maaaring maglantad sa kumpanya sa panganib ng mga katulad na pag-atake.
"Walang ideya ang mga kumpanya kung ano ang ginagawa ng kanilang mga programmer sa kanilang code sa GitHub," sabi ni SchizoDuckie. Sinabi ng ASUS na hindi nito mabe-verify ang mga claim ng espesyalista ngunit aktibong sinusuri ang lahat ng mga system upang maalis ang mga kilalang banta mula sa mga server nito at sumusuporta sa software, at upang matiyak na walang mga pagtagas ng data.
Ang ganitong mga problema sa seguridad ay hindi natatangi sa ASUS - madalas kahit na napakalaking kumpanya ay nahahanap ang kanilang mga sarili sa mga katulad na sitwasyon na may kaugnayan sa kapabayaan ng mga empleyado. Ang lahat ng ito ay nagpapakita kung gaano kahirap ang gawain ng pagtiyak ng seguridad sa modernong imprastraktura at kung gaano kadaling mangyari ang mga pagtagas ng data.
Pinagmulan: 3dnews.ru