最新產業新聞文章

Image credit:

Samsung 內部數據不設防,涉及源代碼、密碼和員工資料

獨立調查員發現相關檔案被公開。

Eric Chan , @erichankc
2019 年 5 月 9 日, 早上 10:30
分享次數
分享
分享
Twitter 發表
line
電郵
儲存

TechCrunch 報導,Samsung 以公司域名儲存於 GitLab 的多項供工程師使用的數據,被設成「公開」狀態而且沒有設置密碼保護。發現的安全調查員 Mossab Hussein 表示自己在 4 月 10 日向 Samsung 回報這問題,但該公司直到 4 月 30 日都沒有撤銷相關的 GitLab 登入碼和憑證。然而在另一邊廂,Samsung 卻稱已經處理問題。

不設防的數據為 SmartThings 和 Bixby 的源代碼,同時更有 AWS 帳號的證書,有心人可以藉此獲得 Samsung 員工的 GitLab 令牌,並進而再獲得其他權限。Hussein 向 TechCrunch 表示駭客可以利用這些數據,於相關源代碼中置放惡意代碼進行攻擊,不會被 Samsung 發現。

Samsung 回應指沒有發現曾公開的檔案有被篡改,相信不會出現 Hussein 所擔心的問題。然而作為一家極具規模的企業卻出現如此嚴重的錯漏,實在叫人失去信心。