华硕安全团队在三月份的表现显然很糟糕。 关于公司员工严重违反安全规定的新指控出现,这次涉及 GitHub。 这一消息是在涉及通过官方实时更新服务器传播漏洞的丑闻之后发布的。
SchizoDuckie 的一位安全分析师联系了 Techcrunch,分享了他在华硕防火墙中发现的另一个安全漏洞的详细信息。 据他介绍,该公司错误地将员工自己的密码发布在 GitHub 的存储库中。 结果,他获得了访问公司内部电子邮件的权限,员工在其中交换了早期版本的应用程序、驱动程序和工具的链接。
该账户属于一名工程师,据报道该账户已开放至少一年。 SchizoDuckie 还报告称,他在这家台湾制造商的另外两名工程师的账户中发现了发布在 GitHub 上的公司内部密码。 消息人士与记者分享了截图,证实了他的结论,尽管图像本身并未公开。
值得注意的是,与之前的攻击相比,这是一个完全不同的漏洞,黑客获得了华硕服务器的访问权限,并通过嵌入后门修改了官方软件(之后华硕为其添加了真实性证书并开始分发)通过官方渠道)。 但在这种情况下,发现了一个安全漏洞,可能使该公司面临类似攻击的风险。
“公司不知道他们的程序员如何处理 GitHub 上的代码,”SchizoDuckie 说。 华硕表示,无法核实专家的说法,但正在积极审查所有系统,以消除其服务器和支持软件中的已知威胁,并确保不存在数据泄露。
此类安全问题并非华硕独有——即使是非常大的公司也经常发现自己处于与员工疏忽相关的类似情况。 这一切都表明,在现代基础设施中确保安全的任务是多么困难,数据泄露是多么容易发生。
来源: 3dnews.ru