Báo cáo từ TechCrunch cho thấy nhà nghiên cứu bảo mật độc lập Mossab Hussein đã phát hiện ra hàng chục tập tin rò rỉ trong GitLab mà các kỹ sư Samsung sử dụng và lưu trữ trên một miền thuộc sở hữu của công ty. Các dự án được báo cáo ở trạng thái công khai và không được bảo vệ bằng mật khẩu.
Các tập tin bị lộ chứa mã nguồn cho các dự án như nền tảng SmartThings của Samsung và các dịch vụ Bixby. Chúng cũng chứa thông tin đăng nhập cung cấp quyền truy cập vào tài khoản Amazon Web Service đang được sử dụng, cũng như mã thông báo GitLab của một số nhân viên kèm quyền truy cập thêm.
Người phát ngôn của Samsung cho biết với TechCrunch rằng công ty đã nhanh chóng thu hồi tất cả các khóa và chứng chỉ cho nền tảng được sử dụng để thử nghiệm. Nhưng Hussein nói rằng ông đã báo cho Samsung vào ngày 10.4 và công ty đã không thu hồi các khóa GitLab cho đến ngày 30.4. Ông nói: “Mối đe dọa thực sự nằm ở khả năng ai đó có được quyền truy cập vào mã nguồn ứng dụng này và tiêm mã độc mà công ty không hay biết”.
Các tập tin bị lộ không bị giả mạo, tuy nhiên với một công ty có quy mô lớn như Samsung, một rò rỉ như vậy được xem là một thảm họa mà công ty nên ngăn chặn.
Bình luận (0)