展会信息
您当前的位置是:首页>>展会信息>>正文

三星多个项目代码泄露:包括SmartThings源代码和密钥

发布时间:2019-10-31  浏览次数:584   文章來源:www.midg.org

北京时间5月9日早间消息,根据美国科技媒体TechCrunch,一位信息安全研究员最近发现,三星工程师使用的开发平台泄露了几个内部项目,包括三星SmartThings敏感的源代码,证书和机密。键。

三星的几十个独立编码项目出现在其Vandev实验室的GitLab实例中。三星员工使用此示例来共享和贡献各种应用程序,服务和项目的代码。由于这些项目设置为“公共”并且不受密码保护,因此任何人都可以查看项目并获取和下载源代码。

迪拜信息安全公司SpiderSilk的安全研究员Mossab Hussein发现了泄露的文件。他说,一个项目包含允许访问所使用的整个AWS账户的证书,包括100多个S3存储单元,用于保存日志和分析数据。

▲部分泄漏代码截图

他指出,许多文件夹包含Samsung SmartThings和Bixby服务的日志和分析数据,以及几个员工以明文形式保存的私有GitLab令牌。这使他能够获得额外的42个公共项目并访问多个私人项目。

三星回应说有些文件是用于测试的,但侯赛因质疑这一点。他说,GitLab代码库中的源代码与4月10日在Google Play上发布的Android应用程序代码相同。该应用程序已经升级,目前已安装超过1亿次。

侯赛因说:“我有一个用户的私人令牌,用户可以完全访问GitLab上的所有135个项目。”因此,他可以使用员工的帐户来修改代码。

侯赛因还提供了多个截图和视频作为证据。泄露的GitLab示例还包括适用于iOS和Android应用的Samsung SmartThings的私人证书。