Из репозитория на GitLab, который использовали разработчики и инженеры Samsung, произошла утечка исходного кода нескольких приложений, секретных ключей к внутренним проектам а также логинов и паролей к аккаунтам разработчиков.
Несколько проектов в репозитории оказались публичными, и в них содержались важные данные, которые открывали доступ к аккаунтам и закрытым проектам. На данный момент Samsung сменила все логины, пароли и ключи, но все еще расследует, получал ли кто-то доступ к проектам до обнаружения уязвимости.
Первым об уязвимости сообщил Моссаб Хусейн, специалист по безопасности из Дубайской компании SpiderSilk. Благодаря уязвимости он получил доступ к 135 проектам, аккаунту Samsung на Amazon Web Services, логам и аналитическим данным нескольких сервисов, например, SmartThings и Bixby, внутренним документам и презентациям. По словам Хусейна, самое опасное в такой утечке то, что «с помощью подобного уровня доступа злоумышленники могли делать инъекции вредоносного кода в исходники, и компания бы этого не заметила».
10 апреля Хусейн сообщил о находке в Samsung. Сейчас доступ к большинству аккаунтов и проектов закрыт, но компания все еще не обозначила проблему, как разрешенную. По словам Хусейна, ключи к проектам на GitLab были рабочими вплоть до 30 апреля.
Представители Samsung рассказали порталу TechCrunch, что сообщение об уязвимости относилось к одной из тестовых платформ, и проблема была быстро разрешена. Тем не менее пока ведется расследование, мог ли кто-то еще воспользоваться утечкой.
Хусейн же утверждает, что проекты не были тестовыми, поскольку фрагменты кода, которые присутствовали в исходниках, можно найти в недавних релизах компании. Находку специалист по безопасности называет самой крупной в своей карьере и говорит, что «еще не видел, чтобы компании подобного масштаба так странно относились к своей инфраструктуре».
Автор: arttom