У команди з безпеки ASUS березня явно не задався. З'явилися нові звинувачення у серйозних порушеннях безпеки з боку співробітників компанії, цього разу за участю GitHub. Новина надійшла слідом за скандалом, пов'язаним із поширенням уразливостей через офіційні сервери Live Update.
Аналітик з безпеки зі SchizoDuckie зв'язався з Techcrunch, щоб поділитися подробицями про ще одну проломи в безпеці, виявленій ним у брандмауері ASUS. За його словами, компанія помилково публікувала власні паролі співробітників у репозиторіях на GitHub. В результаті він отримав доступ до внутрішньої електронної пошти компанії, де співробітники обмінювалися посиланнями на ранні зборки додатків, драйверів та інструментів.
Обліковий запис належав інженеру, який, як повідомляється, залишав його відкритим принаймні протягом року. SchizoDuckie також повідомив, що виявив внутрішні паролі компанії, опубліковані на GitHub в облікових записах двох інших інженерів тайванського виробника. Джерело поділилося з журналістами скріншотами, які підтверджують його висновки, хоча самі зображення не були опубліковані.
Варто відзначити, що йдеться про зовсім іншу вразливість порівняно з попередньою атакою, в якій хакери отримали доступ до серверів ASUS і модифікували офіційне програмне забезпечення, вбудувавши в нього бекдор (після чого ASUS додала до нього сертифікат автентичності і стала поширювати офіційними каналами). Але в даному випадку виявлено помилку безпеки, яка могла піддати компанію ризику аналогічних атак.
"Компанії не мають жодного поняття, що їх програмісти роблять зі своїм кодом на GitHub", - сказав SchizoDuckie. ASUS заявила, що не може перевірити заяви спеціаліста, але активно перевіряє всі системи, щоб усунути відомі загрози зі своїх серверів та допоміжного ПЗ, а також переконатися у відсутності витоків даних.
Подібні проблеми безпеки не є унікальними для ASUS — нерідко навіть великі компанії потрапляють у подібні ситуації, пов'язані з недбалістю співробітників. Все це говорить про те, наскільки складним є завдання забезпечення безпеки в сучасній інфраструктурі і наскільки просто відбуваються витоки даних.
Джерело: 3dnews.ru