ASUS xavfsizlik jamoasi mart oyida yomon oy o'tkazdi. Kompaniya xodimlari tomonidan jiddiy xavfsizlik buzilishi haqidagi yangi da'volar paydo bo'ldi, bu safar GitHub bilan bog'liq. Yangilik rasmiy Live Update serverlari orqali zaifliklarning tarqalishi bilan bog'liq janjal ortidan keladi.
SchizoDuckie kompaniyasining xavfsizlik bo'yicha tahlilchisi ASUS xavfsizlik devorida aniqlagan yana bir xavfsizlik kamchiligi haqida ma'lumot berish uchun Techcrunch bilan bog'landi. Uning so‘zlariga ko‘ra, kompaniya GitHub’dagi omborlarda xodimlarning shaxsiy parollarini xato qilib e’lon qilgan. Natijada, u kompaniyaning ichki elektron pochtasiga kirish huquqiga ega bo'ldi, u erda xodimlar ilovalar, drayverlar va asboblarning dastlabki tuzilmalariga havolalar almashishdi.
Hisob qaydnomasi uni kamida bir yil ochiq qoldirgan muhandisga tegishli edi. SchizoDuckie shuningdek, GitHub-da e'lon qilingan kompaniyaning ichki parollarini Tayvanlik ishlab chiqaruvchining yana ikki muhandisining hisoblarida topgani haqida xabar berdi. Manba jurnalistlar bilan o'z xulosalarini tasdiqlovchi skrinshotlarni baham ko'rdi, garchi suratlarning o'zi chop etilmagan bo'lsa-da.
Shuni ta'kidlash kerakki, bu avvalgi hujumga nisbatan mutlaqo boshqacha zaiflik bo'lib, unda xakerlar ASUS serverlariga kirish huquqiga ega bo'lishdi va unga orqa eshikni o'rnatish orqali rasmiy dasturiy ta'minotni o'zgartirdilar (shundan keyin ASUS unga haqiqiylik sertifikatini qo'shib, tarqatishni boshladi. rasmiy kanallar orqali). Ammo bu holatda kompaniyani shunga o'xshash hujumlar xavfiga duchor qilishi mumkin bo'lgan xavfsizlik kamchiligi aniqlandi.
"Kompaniyalar o'zlarining dasturchilari GitHub-dagi kodlari bilan nima qilayotganlarini bilishmaydi", dedi SchizoDuckie. ASUS mutaxassisning da'volarini tekshira olmaganini, ammo serverlari va qo'llab-quvvatlovchi dasturlardan ma'lum bo'lgan tahdidlarni bartaraf etish va ma'lumotlar sizib chiqmasligiga ishonch hosil qilish uchun barcha tizimlarni faol ravishda ko'rib chiqayotganini aytdi.
Bunday xavfsizlik muammolari faqat ASUSga xos emas - ko'pincha hatto juda yirik kompaniyalar ham xodimlarning e'tiborsizligi bilan bog'liq shunga o'xshash vaziyatlarga duch kelishadi. Bularning barchasi zamonaviy infratuzilmada xavfsizlikni ta'minlash vazifasi naqadar qiyin ekanligini va ma'lumotlar sizib chiqishi qanchalik oson ekanligini ko'rsatadi.
Manba: 3dnews.ru