В Samsung произошла утечка исходного кода, ключей к закрытым проектам и паролей к аккаунтом разработчиков

habr.png

Из репозитория на GitLab, который использовали разработчики и инженеры Samsung, произошла утечка исходного кода нескольких приложений, секретных ключей к внутренним проектам, а также логинов и паролей к аккаунтам разработчиков.

Несколько проектов в репозитории оказались публичными, и в них содержались важные данные, которые открывали доступ к аккаунтам и закрытым проектам. На данный момент Samsung сменила все логины, пароли и ключи, но все еще расследует, получал ли кто-то доступ к проектам до обнаружения уязвимости.
Первым об уязвимости сообщил Моссаб Хусейн, специалист по безопасности из Дубайской компании SpiderSilk. Благодаря уязвимости он получил доступ к 135 проектам, аккаунту Samsung на Amazon Web Services, логам и аналитическим данным нескольких сервисов, например, SmartThings и Bixby, внутренним документам и презентациям. По словам Хусейна, самое опасное в такой утечке то, что «с помощью подобного уровня доступа злоумышленники могли делать инъекции вредоносного кода в исходники, и компания бы этого не заметила».

10 апреля Хусейн сообщил о находке в Samsung. Сейчас доступ к большинству аккаунтов и проектов закрыт, но компания все еще не обозначила проблему, как разрешенную. По словам Хусейна, ключи к проектам на GitLab были рабочими вплоть до 30 апреля.

Представители Samsung рассказали порталу TechCrunch, что сообщение об уязвимости относилось к одной из тестовых платформ, и проблема была быстро разрешена. Тем не менее пока ведется расследование, мог ли кто-то еще воспользоваться утечкой.

Хусейн же утверждает, что проекты не были тестовыми, поскольку фрагменты кода, которые присутствовали в исходниках, можно найти в недавних релизах компании. Находку специалист по безопасности называет самой крупной в своей карьере и говорит, что «еще не видел, чтобы компании подобного масштаба так странно относились к своей инфраструктуре».

© Habrahabr.ru