最新產業新聞文章

Image credit:

三星内部数据不设防,涉及源代码、密码和员工资料

独立调查员发现相关文件被公开。

Eric Chan
2019 年 5 月 9 日, 早上 10:30

TechCrunch 报道,三星以公司域名储存于 GitLab 的多项供工程师使用的数据,被设成「公开」状态而且没有设置密码保护。发现的安全调查员 Mossab Hussein 表示自己在 4 月 10 日向三星回报这问题,但该公司直到 4 月 30 日都没有撤销相关的 GitLab 登入码和凭证。然而在另一边厢,三星却称已经处理问题。

不设防的数据为 SmartThings 和 Bixby 的源代码,同时更有 AWS 帐号的证书,有心人可以借此获得三星员工的 GitLab 令牌,并进而再获得其他权限。Hussein 向 TechCrunch 表示骇客可以利用这些数据,于相关源代码中置放恶意代码进行攻击,不会被三星发现。

三星回应指没有发现曾公开的文件有被篡改,相信不会出现 Hussein 所担心的问题。然而作为一家极具规模的企业却出现如此严重的错漏,实在叫人失去信心。