Engenheiros de
desenvolvimento da Samsung deixaram dados sensíveis de projetos e aplicações
expostos na internet. De acordo com o TechCrunch,
foi possível acessar credenciais, códigos-fonte e chaves secretas para projetos
internos e a plataforma SmartThings, que conecta dispositivos da Sammy entre si.
Os dados estavam
expostos em um Gitlab dentro dos domínios da Samsung, o
Vandev Lab. Por ali, funcionários da Samsung trocavam códigos e contribuíam
para diferentes projetos.
Agora, o motivo
da brecha: todo o diretório estava configurado para acesso público, sem
qualquer tipo de senha para acesso. Isso significa que não foi necessário
qualquer tipo de ferramenta especial ou hacking para acessar os dados.
"No total, de 135 projetos
abertos, 42 estavam públicos e foram acessados"
A descoberta
foi feita pelo pesquisador de segurança Mossab Hussein, da empresa de
cibersegurança SpiderSilk. Segundo Hussein, entre os documentos, estava um
código-fonte para projetos da plataforma SmartThings e Bixby, credenciais para
acesso à conta do Amazon Web Service, tokens GitLab de funcionários, além de
logs e dados de análise.
Exposição
No total, de 135 projetos
abertos, 42 estavam públicos e foram acessados. “A ameaça real está na
possibilidade de alguém adquirir esse nível de acesso ao código-fonte do
aplicativo e injetá-lo com códigos maliciosos sem que a empresa saiba",
disse Hussein.
A Samsung já corrigiu a brecha —
20 dias após ser alertada pelo pesquisador.
Fontes:
TECHCRUNCH
Nenhum comentário:
Postar um comentário