ASUS güvenlik ekibi Mart ayında açıkça kötü bir ay geçirdi. Şirket çalışanlarının ciddi güvenlik ihlallerine ilişkin yeni iddialar bu kez GitHub'u da kapsayacak şekilde ortaya çıktı. Haber, güvenlik açıklarının resmi Canlı Güncelleme sunucuları aracılığıyla yayılmasını içeren bir skandalın ardından geldi.
SchizoDuckie'den bir güvenlik analisti, ASUS güvenlik duvarında keşfettiği başka bir güvenlik açığının ayrıntılarını paylaşmak için Techcrunch ile temasa geçti. Ona göre şirket, çalışanların kendi şifrelerini yanlışlıkla GitHub'daki depolarda yayınladı. Sonuç olarak, çalışanların ilk uygulama, sürücü ve araç sürümlerine bağlantı alışverişinde bulunduğu şirket içi e-postaya erişim kazandı.
Hesabın, en az bir yıl boyunca açık bırakıldığı bildirilen bir mühendise ait olduğu belirtildi. SchizoDuckie ayrıca Tayvanlı üreticideki diğer iki mühendisin hesaplarında GitHub'da yayınlanan şirket içi şifreleri keşfettiğini bildirdi. Kaynak, görüntülerin kendisi yayınlanmamış olsa da, vardığı sonuçları doğrulayan ekran görüntülerini gazetecilerle paylaştı.
Bunun, bilgisayar korsanlarının ASUS sunucularına erişim sağladığı ve bir arka kapı yerleştirerek resmi yazılımı değiştirdiği (bunun ardından ASUS, ona bir orijinallik sertifikası ekledi ve dağıtmaya başladı) önceki saldırıya kıyasla tamamen farklı bir güvenlik açığı olduğunu belirtmekte fayda var. resmi kanallar aracılığıyla). Ancak bu durumda şirketi benzer saldırı riskine maruz bırakabilecek bir güvenlik açığı keşfedildi.
SchizoDuckie, "Şirketlerin programcılarının GitHub'daki kodlarıyla ne yaptığına dair hiçbir fikri yok" dedi. ASUS, uzmanın iddialarını doğrulayamadığını ancak bilinen tehditleri sunucularından ve destekleyen yazılımlardan kaldırmak ve herhangi bir veri sızıntısı olmadığından emin olmak için tüm sistemleri aktif olarak incelediğini söyledi.
Bu tür güvenlik sorunları sadece ASUS'a özgü değil; çoğu zaman çok büyük şirketler bile kendilerini çalışanların ihmali nedeniyle benzer durumlarla karşı karşıya buluyor. Bütün bunlar modern altyapılarda güvenliği sağlama işinin ne kadar zor olduğunu ve veri sızıntılarının ne kadar kolay meydana geldiğini gösteriyor.
Kaynak: 3dnews.ru