IT業界資訊媒體

【Samsung 派福利】 GitLab 機密專案源碼任睇  

無論係個人應用軟件開發者,抑或係企業開發團隊,都愛用 GitLab 呢類專案管理平台,既有助加快團隊開發,亦方便管理及備份開發過程中嘅不同版本。不過, Samsung 早兩日就被研究員發現,有員工誤將載有登入權限嘅 private token 喺未經加密嘅情況下放上網,導致任何人都可以讀取 Samsung 團隊放喺 GitLab 上嘅計劃及程式碼,甚至偷偷哋加入惡意程式,後果可大可小!

GitLab 設定開放錯誤

應用軟件開發進入 DevOps 時代,開發流程講求快,所以好多企業都會選用 GitLab 呢類平台。Samsung 亦唔例外,喺 GitLab 上存放咗百幾個開發計劃,入面包括 SmartThings 智能物理聯平台及其他機密計劃嘅程式碼。喺四月初,杜拜網絡安全公司 SpiderSilk 嘅研究員 Mossab Hussein 就發現 ,有 Samsung 工程師將登入 GitLab 嘅憑證遺留咗喺部分設定為公開嘅專案入面,所以任何人都可以通過讀取專案而攞到登入權限,讀取埋其他放喺 GitLab 嘅專案。咁都不特止,其中一個專案入面更收藏咗登入 Samsung 嘅 AWS 帳戶,可以睇埋儲存喺入面嘅大量分析數據及記錄,呢啲咁珍貴嘅機密資料,唔知價值幾多呢?

Samsung 方面曾回應指有部分檔案只係用嚟測試,但 Hussein 就反擊話喺 GitLab 上嘅部分專案程式碼,同佢哋嘅專用 Android app 一模一樣,所以並唔係假嘢嚟,意思即係叫對方唔好諗住淡化事件嘅影響啦。而 Samsung 亦的確有做嘢,佢哋已銷毀咗登入 AWS 帳戶嘅憑證,但就回應話唔肯定期間有無人進入過帳戶。

今次事件除咗機密資料上嘅損失,仲隱藏住一個重大危機,就係不法份子有可能偷偷將惡意程式放入 Samsung 嘅應用軟件專案入面,發動供應鏈攻擊(supply chain attack)。供應鏈攻擊係現時黑客好鍾意用嘅攻擊技術,貪佢可以一次過令數以萬計嘅人中招,而受害人係完全無得防備。以 Samsung 嘅電子產品種類之多,好多消費者都會用埋佢嘅應用軟件,所以一旦 Samsung 嘅開發團隊無細心咁檢查清楚每個專案,俾黑客借刀攻擊嘅話,影響力一定好大。

資料來源:https://tcrn.ch/2VfLfKh

相關文章:【信心崩壞】最狡猾詐騙手法——軟件供應鏈攻擊