三星工程师使用的开发实验室正在泄露高度敏感的源代码、凭证和几个内部项目的密钥——包括 SmartThings 平台。
三星旗下 Vandev Lab 上托管的 GitLab 实例中留下了数十个内部编码项目。该实例被三星员工用来分享和贡献各种三星应用程序、服务和项目代码,由于项目被设置为 “公开” 且没有受到密码保护,因此任何人都可以查看每个项目,访问并下载源代码。
总部位于迪拜的网络安全公司 SpiderSilk 的安全研究员 Mossab Hussein 发现了这些泄露的文件,他表示,某个项目包含的证书允许访问正在使用的整个 AWS 账户,包括 100 多个 S3 存储单元,其中保存了日志和分析数据。
他指出,许多文件夹包含三星 SmartThings 和 Bixby 服务的日志和分析数据,还包括以明文形式存储的几个员工的私有 GitLab 令牌,这使他能够从 42 个公共项目,以及许多私人项目中获得额外访问权限。
公开的 AWS 凭证的屏幕截图
三星回应称,其中一些文件是用于测试的,但 Hussein 对此提出质疑,他表示,在 GitLab 代码库中发现的源代码与 4 月 10 日在 Google Play 上发布的 Android 应用包含的代码相同。这款应用随后有过升级,到目前为止安装量已超过 1 亿次。
Hussein 提供了多张屏幕截图和视频作为证据。泄露的 GitLab 实例中还包括三星 SmartThings 的 iOS 和 Android 应用的私有证书。
通过泄露的私钥和令牌,Hussein 记录了大量访问请求,他说,如果被恶意者获得,结果可能是 “灾难性的”。
via TechCrunch