又是原始碼洩露,這次是世界五百強的三星
嗶哩嗶哩的 GitHub 程式碼洩露事件熱潮還未過
上個月,大疆前員工就因在 GitHub 上洩露程式碼被法院判處有期徒刑半年,罰款20萬。
或許是三星工程師覺得大疆的最終判決還不夠狠。
這不,昨日又在 GitLab 上洩露了多個內部專案程式碼,包括 SmartThings 和 Bixby 的原始碼
我們具體來看看是怎麼回事兒吧 ···
5月9日,外媒 TechCrunch 報導稱,三星公司用於程式碼儲存的 GitLab 上,多項供工程師使用的資料,被設為「公開」狀態而且沒有設定密碼保護。未設定許可權的的資料為 SmartThings 和 Bixby 的原始碼,同時有 AWS 帳號的證書,黑客完全可以藉此獲得三星員工的 GitLab 令牌,並進而獲得更多的其他許可權。
部分洩露程式碼截圖
Hussein 向 TechCrunch 表示,洩露的資料夾中不僅包含了三星 SmartThings 和 Bixby 服務的日誌和分析資料(其中日誌裡包含 iOS 和 Android 應用的私有證書),而且還包括以明文形式儲存的員工個人的 GitLab 令牌。這些資料使得他能夠獲取另外135個專案的訪問許可權。如果黑客利用這些資料,在相關原始碼中放置惡意程式碼實施攻擊,三星不會有任何察覺。
SmartThings是三星手機的一款應用,主要功能是控制智慧家居裝置。從燈光到恆溫器,再到安全攝像頭等,都能使用SmartThings進行控制。
Bixby是三星手機的語音助手,可以幫助智慧手機通過語音命令執行任務。同時,它還具有影象識別和語言翻譯。類似於蘋果的Siri。
到目前為止,這兩款應用在 Google Play 的下載安裝量已高達1億多次。
Hussein 稱,自己在 4 月 10 日向三星迴報過這個問題,但該公司一直未對洩露事件做出積極迴應。之後, Hussein 向 TechCrunch 媒體共享了一些截圖和自己的研究成果視訊進行審查和驗證。
三星公司官方迴應稱, Gitlab 上洩露的檔案其中一部分只是用於內部測試,不會影響到實際的使用者體驗,相信不會出現 Hussein 所擔心的問題。三星公司的發言人 Zach Dugan 表示:“我們迅速撤銷了所有測試平臺上金鑰和證書的報告,我們尚未發現任何外部訪問的跡象,目前正在進一步調查此事。”
然而,直到4月30日,三星官方都沒有撤銷相關的 GitLab 登入碼和憑證。作為一家世界500強企業卻出現如此嚴重的錯漏,實在叫人失去信心。
程式碼洩露事件為何層出不窮?
企業和個人的的安全意識淡薄是造成程式碼洩露最根本的原因。其實,原始碼對於企業來說,是公司的核心競爭力,公司本身應對此引起高度重視。而作為一名開發者,也應有自己的職業素養。網路安全問題從來都不是小問題,一旦被惡意攻擊者得逞,可能會對企業和使用者帶來災難性後果。
來源:新浪科技
- End -
熱門文章閱讀
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:[email protected]
↙ 點選下方“閱讀原文”,檢視更多資訊