華碩安全團隊在三月的表現顯然很糟糕。 關於公司員工嚴重違反安全規定的新指控出現,這次涉及 GitHub。 這一消息是在涉及透過官方即時更新伺服器傳播漏洞的醜聞之後發布的。
SchizoDuckie 的一位安全分析師聯繫了 Techcrunch,分享了他在華碩防火牆中發現的另一個安全漏洞的詳細資訊。 據他介紹,該公司錯誤地將員工自己的密碼發佈在 GitHub 的儲存庫中。 結果,他獲得了訪問公司內部電子郵件的權限,員工在其中交換了早期版本的應用程式、驅動程式和工具的連結。
該帳戶屬於工程師,據報道該帳戶已開放至少一年。 SchizoDuckie 還報告稱,他在這家台灣製造商的另外兩名工程師的帳戶中發現了發佈在 GitHub 上的公司內部密碼。 消息人士與記者分享了截圖,證實了他的結論,儘管圖像本身並未公開。
值得注意的是,與先前的攻擊相比,這是一個完全不同的漏洞,駭客獲得了華碩伺服器的存取權限,並透過嵌入後門修改了官方軟體(之後華碩為其添加了真實性證書並開始分發)透過官方管道)。 但在這種情況下,發現了一個安全漏洞,可能使該公司面臨類似攻擊的風險。
「公司不知道他們的程式設計師如何處理 GitHub 上的程式碼,」SchizoDuckie 說。 華碩表示無法核實專家的說法,但正在積極審查所有系統,以消除其伺服器和支援軟體中的已知威脅,並確保不存在資料外洩。
這類安全問題並非華碩獨有——即使是非常大的公司也經常發現自己處於與員工疏忽相關的類似情況。 這一切都表明,在現代基礎設施中確保安全的任務是多麼困難,資料外洩是多麼容易發生。
來源: 3dnews.ru