지난달 삼성이 소유 한 Vandev Lab의 GitLab 인스턴스가 비밀번호로 프로젝트를 보호하지 않은 것으로 나타났습니다. 이에 따라 다양한 삼성 앱, 서비스 및 프로젝트를위한 수십 개의 내부 코딩 프로젝트가 공개로 설정되어 인기있는 스마트 홈 에코 시스템 SmartThings를 포함하여 삼성 프로젝트에 추가로 액세스 할 수있게되었습니다.
암호로 프로젝트를 제대로 보호하지 않고도 누구나 소스 코드를 보거나 다운로드하거나 변경하는 기능을 제공했습니다.
SpiderSilk의 보안 연구원 인 Mossab Hussein은 4 월 10 일 보안의 허점을 발견하여 삼성에보고했습니다. 그의 발견에서 그는 로그와 분석 데이터를 포함하는 수백 개 이상의 S3 스토리지 버킷을 포함하여 전체 AWS 계정에 액세스 할 수있었습니다.
로그 및 분석에는 SmartThings 및 Bixby 서비스와 같은 삼성 제품과 여러 직원의 개인 GitLab 토큰이 일반 텍스트로 포함되었습니다. 이 토큰을 사용하여 Hussein은 45 ~ 135 개의 공공 및 민간 프로젝트에 액세스 할 수있었습니다.
Hussein은 삼성에 연락했을 때 일부 파일이 테스트 용이라는 말을 들었지만 현재 Android SmartThings 앱의 현재 버전에 대한 소스 코드를 신속하게 지적했습니다. 그러나 대화 이후 앱이 업데이트되었습니다.
이 접근의 가장 위험한 부분은 GitLab 토큰으로 Hussein이 Samsung 코드를 변경할 수 있다는 것입니다. 그는 말했다:
실제 위협은 누군가가 응용 프로그램 소스 코드에 대한이 수준의 액세스 권한을 획득하고 회사에 알리지 않고 악성 코드를 삽입 할 가능성에 있습니다.
Hussein이 Samsung에 연락 한 후 며칠 후에 AWS 자격 증명이 해지되었지만 비밀 키와 인증서가 유사한 처리를 받았는지 확인되지 않았습니다. 현재와 마찬가지로, 삼성은 취약점보고가보고 된 지 거의 한 달 후에도 여전히 취약성 보고서를 닫지 않았습니다. 그러나 삼성의 대변인 인 Zach Dugan은 이에 대한 의견을 물었다.
보고 된 테스트 플랫폼에 대한 모든 키와 인증서를 신속하게 철회했으며 외부 액세스가 발생했다는 증거를 아직 찾지 못했지만 현재이를 더 조사하고 있습니다.
후세인에 따르면, GitLab 개인 키가 취소되는 데 4 월 30 일까지 걸리며 "이런 회사가 이상한 방식으로 인프라를 처리하는 회사를 본 적이 없다"고 말했다. TechCrunch는이 사건에 대한 특정 질문을하거나 테스트 환경만을위한 증거라는 질문에 삼성은 거절했습니다.
이것은 오늘날 기술이 우리 삶의 모든 측면에 적용됨에 따라 적절한 보안 관행이 점점 더 중요 해지고있는 또 다른 예입니다.
Google Nest Hub Max 실습: 스마트 홈을위한 훌륭한 올인원
링크를 사용하여 구매 수수료를받을 수 있습니다. 자세히 알아보십시오.
