Инженеры ASUS не заботятся о безопасности паролей на GitHub.
Сотрудники компании ASUS допускают утечки учетных данных к своим аккаунтам на GitHub, которые могут использоваться для доступа к внутренним системам тайваньского производителя. Проблему выявил исследователь безопасности, использующий псевдоним SchizoDuckie, пишет TechCrunch.
К примеру, в репозитории одного из инженеров ASUS исследователь обнаружил пароль к почтовому аккаунту, используемому для внутренней автоматизированной рассылки ночных сборок. По словам SchizoDuckie, в электронных письмах содержались данные о том, где именно хранятся драйверы и файлы. Эксперт не проверял масштабы доступа, который предоставлял аккаунт, но отметил, что с его помощью достаточно легко проникнуть во внутреннюю сеть.
«Все, что нужно – прикрепить к одному из этих писем вложение и отправить его любому сотруднику, добывая таким образом нужную информацию», - подчеркнул он.
SchizoDuckie сообщил ASUS об утечке корпоративных учетных данных и спустя шесть дней компания исправила проблему, но оказалось, что утечки паролей допускает отнюдь не один инженер. Эксперт обнаружил еще по меньшей мере два подобных случая - разработчики оставили логины и пароли в кодах на своих GitHub-страницах.
ASUS была повторно проинформирована о проблеме и спустя день удалила данные из репозиториев. При этом представители компании заявили, что не смогли «проверить достоверность заявлений исследователя», но активно изучают все системы на предмет возможных рисков и утечек данных. ASUS – не единственная компания, допускающая утечки данных в репозиториях на GitHub. Ранее специалисты выявили более 100 тыс. репозиториев, раскрывающих криптографические ключи и другие конфиденциальные данные.
Данный инцидент не связан с вредоносной к ампанией , в рамках которой злоумышленники внедрили бэкдор в утилиту ASUS Live Update, однако в полной мере демонстрирует пробелы в обеспечении безопасности, которыми могли бы воспользоваться киберпреступники.
От классики до авангарда — наука во всех жанрах