Vorige maand werd ontdekt dat een GitLab-exemplaar voor Vandev Lab, dat eigendom is van Samsung, zijn projecten niet met een wachtwoord had beveiligd. Als zodanig werden tientallen interne coderingsprojecten voor verschillende Samsung-apps, -services en -projecten openbaar gemaakt, die op hun beurt verdere toegang gaven tot Samsung-projecten, inclusief het populaire smart home-ecosysteem SmartThings.
Zonder de projecten op de juiste manier te beveiligen met een wachtwoord, gaf het iedereen de mogelijkheid om de broncode te bekijken, te downloaden of zelfs wijzigingen aan te brengen.
Een beveiligingsonderzoeker van SpiderSilk, Mossab Hussein genaamd, ontdekte het verval in beveiliging op 10 april en rapporteerde dit aan Samsung. In zijn bevindingen had hij toegang tot het gehele AWS-account inclusief meer dan honderd S3-opslagemmers met logboeken en analytische gegevens.
De logboeken en analyses hadden betrekking op Samsung-producten zoals SmartThings en Bixby-services, evenals privé-GitLab-tokens van verschillende werknemers in platte tekst. Met het gebruik van deze tokens kreeg Hussein toegang tot 45 tot 135 openbare en particuliere projecten.
Toen hij contact opnam met Samsung, kreeg Hussein te horen dat sommige van de bestanden voor het testen waren, maar hij wees er snel op dat de broncode voor de huidige versie van de Android SmartThings-app aanwezig was. De app is echter sinds hun gesprek bijgewerkt.
Het gevaarlijkste deel van deze toegang is dat Hussein met de GitLab-tokens wijzigingen in de code van Samsung had kunnen aanbrengen. Hij beweerde:
De echte bedreiging ligt in de mogelijkheid dat iemand dit toegangsniveau tot de broncode van de toepassing verkrijgt en deze met kwaadaardige code injecteert zonder dat het bedrijf het weet.
De AWS-inloggegevens werden enkele dagen nadat Hussein contact had opgenomen met Samsung ingetrokken, maar er is niet geverifieerd of de geheime sleutels en certificaten op dezelfde manier zijn behandeld. Zoals het nu is, heeft Samsung het kwetsbaarheidsrapport nog steeds niet bijna een maand nadat het voor het eerst werd gemeld, gesloten. Toen hem om een opmerking werd gevraagd, antwoordde Zach Dugan, een woordvoerder van Samsung:
We hebben snel alle sleutels en certificaten voor het gerapporteerde testplatform ingetrokken en hoewel we nog geen bewijs hebben gevonden dat er externe toegang is opgetreden, onderzoeken we dit momenteel verder.
Volgens Hussein duurde het tot 30 april voordat de GitLab-privésleutels werden ingetrokken, en hij wordt geciteerd: "Ik heb nog nooit zo'n groot bedrijf hun infrastructuur zien gebruiken met zulke rare praktijken." Toen TechCrunch specifieke vragen over het incident stelde, of als bewijs dat het alleen voor testomgevingen was, weigerde Samsung.
Dit is gewoon een ander voorbeeld van hoe goede beveiligingsmethoden tegenwoordig steeds belangrijker worden naarmate technologie zijn weg vindt naar elk aspect van ons leven.
Google Nest Hub Max hands-on: een geweldige alles-in-één voor uw smart home
We kunnen via onze links een commissie verdienen voor aankopen. Kom meer te weten.
