圖片來源: 

PxHere

安全研究人員發現南韓大廠三星存放了十多項專案等機密資訊,包括SmartThings的程式源碼、帳密和加密金鑰的資料夾未設密碼公開於網路上,恐有外洩之虞。

安全公司SpiderSilk研究人員Mossab Hussein首先發現這批資訊,並告知了Techcrunch。他發現,代管於三星網域Vandev Lab的GitLab執行個體(instance)被設為「公開」且未設定密碼保護,上面有10多個三星內部專案,包括智慧家庭產品SmartThings的研發簡報檔、文件檔、程式碼、登入帳密、加密金鑰等,讓知道路徑的所有人都可以一探究竟並下載。

例如,研究人員在GitLab執行個體上發現SmartThings iOS和Android App的憑證。另有個專案曝露通往AWS 100多個S3資料夾的帳密,內含分析資料及log,其中有多個含有三星SmartThings和AI人工智慧Bixby的log和分析資料。此外,還有多名員工的GitLab令牌以明碼儲存,讓研究人員得以再進入其他135個專案中,包括一些不公開的專案。

研究人員在4月10日通報三星,三星已經取消曝光的AWS登入帳密,但其他機密像是金鑰、憑證是否取消則不得而知。三星當時告訴研究人員說這些都只是測試資料,但研究人員看到的某個Android App程式碼,和4月上架Google Play的版本完全一樣,顯示並不只有初期資料而已。研究人員指出,除了三星研發機密外洩的風險外,一旦有心人士取得這些憑證和程式碼,還可能在其中注入惡意程式碼,而危害為數眾多的使用者。

三星表示,沒有發現這些檔案遭人存取或竄改的跡象。


Advertisement

更多 iThome相關內容