据美国科技媒体 TechCrunch 报道,一名信息安全研究员近期发现,三星工程师使用的一个开发平台泄露了多个内部项目,包括三星 SmartThings 敏感的源代码、证书和密钥。
三星数十个自主编码项目出现在旗下 Vandev Lab 的 GitLab 实例中。该实例被三星员工用于分享并贡献各种应用、服务和项目的代码。由于这些项目被设置为“公开”,同时没有受到密码的保护,因此任何人都可以查看项目,获取并下载源代码。
迪拜信息安全公司SpiderSilk的安全研究员莫撒布·胡赛因(Mossab Hussein)发现了这些泄露的文件。他表示,某个项目包含的证书允许访问正在使用的整个AWS帐号,包括 100 多个 S3 存储单元,其中保存了日志和分析数据。
他还指出,许多文件夹包含三星 SmartThings 和 Bixby 服务的日志和分析数据,以及几名员工以明文保存的私有 GitLab 令牌。这使得他可以额外获得 42 个公开项目,以及多个私有项目的访问权限。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
