A empresa inadvertidamente deu acesso “público” aos arquivos críticos no seu laboratório de desenvolvimento no GitLab e até nem foi protegida com uma password.
De acordo com o pesquisador de segurança Mossab Hussein, a Samsung estava a fornecer informações dados confidenciais – credenciais, código-fonte e chaves secretas para vários projectos importantes. A empresa inadvertidamente deu acesso “público” aos arquivos críticos no seu laboratório de desenvolvimento no GitLab e até nem foi protegida com uma password.
Os dados expostos continham credenciais para a conta da Amazon Web Services a ser usada para o desenvolvimento de serviços da Samsung. Isto revelou 100 buckets de armazenamento S3, ligados à mesma conta da AWS que contém dados de análise e registos. Os tokens de acesso do GitLab dos funcionários também fazem parte dos dados confidenciais descobertos. O pesquisador de segurança conseguiu acesso a vários projectos públicos e privados com os tokens de acesso, aumentando a contagem de projectos expostos de 43 para 135.
“Eu tinha o token privado de um utilizador que tinha acesso total a todos os 135 projectos nesse GitLab” afirma Mossab Hussein.
A maioria dos arquivos publicamente visíveis continha dados relacionados aos serviços SmartThings e Bixby da Samsung. Ele ainda revela que poderia ter sido “desastroso” se alguém com outras intenções, tivesse tido acesso a estes dados.
A Samsung aloja vários projectos no Vandev Lab – um repositório GitLab alojado pela Samsung para fins de desenvolvimento. O mesmo repositório contém projectos como a plataforma SmartThings da Samsung e Bixby.
No entanto, a Samsung já revogou o acesso de todas as chaves e credenciais na plataforma de teste. A empresa está a investigar para encontrar evidências de qualquer acesso externo indevido.
Numa altura em que se falta tanto em ciber-segurança, há tantas formas de restringir o acesso a dados mais delicados, seja de que empresa seja, esta situação por parte da Samsung não se admite. Em pleno ano de 2019 deixar assim acesso sem password a dados de projectos internos da empresa, é um bocado embaraçoso.
Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado! |
Formado em Informática / Multimédia trabalho há 10 anos em Logística no Ramo Automóvel. Tenho uma paixão pelas Novas Tecnologias , cresci com computadores e tecnologias sempre presentes, assisti à evolução até hoje e continuo a absorver o máximo de informação sou um Tech Junkie. Viciado em Smartphones e claro no AndroidGeek.pt