Android Geek
O maior site de Android em Português

Samsung inadvertidamente expôs dados sensíveis, credenciais e código-fonte

A empresa inadvertidamente deu acesso “público” aos arquivos críticos no seu laboratório de desenvolvimento no GitLab e até nem foi protegida com uma password.

 

De acordo com o pesquisador de segurança Mossab Hussein, a Samsung estava a fornecer informações dados confidenciais - credenciais, código-fonte e chaves secretas para vários projectos importantes. A empresa inadvertidamente deu acesso “público” aos arquivos críticos no seu laboratório de desenvolvimento no GitLab e até nem foi protegida com uma password.

Samsung M-series

Os dados expostos continham credenciais para a conta da Amazon Web Services a ser usada para o desenvolvimento de serviços da Samsung. Isto revelou 100 buckets de armazenamento  S3, ligados à mesma conta da AWS que contém dados de análise e registos. Os tokens de acesso do GitLab dos funcionários também fazem parte dos dados confidenciais descobertos. O pesquisador de segurança conseguiu acesso a vários projectos públicos e privados com os tokens de acesso, aumentando a contagem de projectos expostos de 43 para 135.

"Eu tinha o token privado de um utilizador que tinha acesso total a todos os 135 projectos nesse GitLab" afirma Mossab Hussein.

A maioria dos arquivos publicamente visíveis continha dados relacionados aos serviços SmartThings e Bixby da Samsung. Ele ainda revela que poderia ter sido "desastroso" se alguém com outras intenções, tivesse tido acesso a estes dados.

A Samsung aloja vários projectos no Vandev Lab - um repositório GitLab alojado pela Samsung para fins de desenvolvimento. O mesmo repositório contém projectos como a plataforma SmartThings da SamsungBixby.

No entanto, a Samsung já revogou o acesso de todas as chaves e credenciais na plataforma de teste. A empresa está a investigar para encontrar evidências de qualquer acesso externo indevido.

 

Numa altura em que se falta tanto em ciber-segurança, há tantas formas de restringir o acesso a dados mais delicados, seja de que empresa seja, esta situação por parte da Samsung não se admite. Em pleno ano de 2019 deixar assim acesso sem password a dados de projectos internos da empresa, é um bocado embaraçoso.

 

 

Este Website usa cookies para providenciar uma melhor experiência. Pode recusar se desejar. Aceitar Saber Mais