又是源代码泄露,这次是世界五百强的三星

 

21CTO导读:哔哩哔哩的GitHub代码泄露事件热潮还未过
上个月,大疆前员工就因在GitHub上泄露代码被法院判处有期徒刑半年,罚款20万。
或许是三星工程师觉得大疆的最终判决还不够狠。
这不,昨日又在GitLab上泄露了多个内部项目代码,包括SmartThings 和 Bixby 的源代码
我们具体来看看是怎么回事儿吧 ···


 

5.13_.8_.1_.jpg

 
 
5月9日,外媒TechCrunch 报导称,三星公司用于代码储存的 GitLab上,多项供工程师使用的数据,被设为「公开」状态而且没有设置密码保护。未设置权限的的数据为 SmartThings 和 Bixby 的源代码,同时有 AWS 帐号的证书,黑客完全可以藉此获得三星员工的 GitLab 令牌,并进而获得更多的其他权限。
 

部分泄露代码截图
 
Hussein向TechCrunch表示,泄露的文件夹中不仅包含了三星 SmartThings 和 Bixby 服务的日志和分析数据(其中日志里包含iOS和Android应用的私有证书),而且还包括以明文形式存储的员工个人的GitLab令牌。这些数据使得他能够获取另外135个项目的访问权限。如果黑客利用这些数据,在相关源代码中放置恶意代码实施攻击,三星不会有任何察觉。
 
SmartThings是三星手机的一款应用,主要功能是控制智能家居设备。从灯光到恒温器,再到安全摄像头等,都能使用SmartThings进行控制。
Bixby是三星手机的语音助手,可以帮助智能手机通过语音命令执行任务。同时,它还具有图像识别和语言翻译。类似于苹果的Siri。
 
到目前为止,这两款应用在Google Play的下载安装量已高达1亿多次。
 
Hussein称,自己在 4 月 10 日向三星回报过这个问题,但该公司一直未对泄露事件做出积极回应。之后,Hussein 向 TechCrunch 媒体共享了一些截屏和自己的研究成果视频进行审查和验证。
 
三星公司官方回应称,Gitlab上泄露的文件其中一部分只是用于内部测试,不会影响到实际的用户体验,相信不会出现 Hussein 所担心的问题。三星公司的发言人Zach Dugan表示:“我们迅速撤销了所有测试平台上密钥和证书的报告,我们尚未发现任何外部访问的迹象,目前正在进一步调查此事。”
 
然而,直到4月30日,三星官方都没有撤销相关的 GitLab 登入码和凭证。作为一家世界500强企业却出现如此严重的错漏,实在叫人失去信心。

 
代码泄露事件为何层出不穷?
 
企业和个人的的安全意识淡薄是造成代码泄露最根本的原因。其实,源代码对于企业来说,是公司的核心竞争力,公司本身应对此引起高度重视。而作为一名开发者,也应有自己的职业素养。网络安全问题从来都不是小问题,一旦被恶意攻击者得逞,可能会对企业和用户带来灾难性后果。
 

来源:看雪学院


 

0 个评论

要回复文章请先登录注册