No mês passado, foi descoberto que uma instância do GitLab para o Vandev Lab, de propriedade da Samsung, não protegeu seus projetos com uma senha. Como tal, dezenas de projetos de codificação internos para vários aplicativos, serviços e projetos da Samsung foram definidos como públicos, o que, por sua vez, forneceu acesso adicional aos projetos da Samsung, incluindo seu popular ecossistema doméstico inteligente SmartThings.
Sem proteger adequadamente os projetos com uma senha, ele permitiu a qualquer pessoa visualizar o código-fonte, fazer o download ou até fazer alterações.
Um pesquisador de segurança da SpiderSilk, chamado Mossab Hussein, descobriu o lapso de segurança em 10 de abril e informou à Samsung. Em suas descobertas, ele teve acesso a toda a conta da AWS, incluindo mais de cem buckets de armazenamento S3 contendo logs e dados analíticos.
Os logs e análises cobriam os produtos Samsung, como os serviços SmartThings e Bixby, bem como os tokens GitLab particulares de vários funcionários em texto simples. Com o uso desses tokens, Hussein conseguiu acessar entre 45 e 135 projetos públicos e privados.
Quando ele entrou em contato com a Samsung, Hussein foi informado de que alguns arquivos estavam sendo testados, mas ele rapidamente apontou o código fonte da versão atual do aplicativo Android SmartThings. O aplicativo foi atualizado desde a conversa deles, no entanto.
A parte mais perigosa desse acesso é que, com os tokens do GitLab, Hussein poderia ter feito alterações no código da Samsung. Ele afirmou:
A ameaça real está na possibilidade de alguém adquirir esse nível de acesso ao código-fonte do aplicativo e injetar código malicioso sem que a empresa saiba.
As credenciais da AWS foram revogadas alguns dias após Hussein entrar em contato com a Samsung, mas não foi verificado se as chaves e certificados secretos receberam tratamento semelhante. No momento, a Samsung ainda não fechou o relatório de vulnerabilidade quase um mês após a primeira notificação. No entanto, quando solicitado a comentar, Zach Dugan, porta-voz da Samsung, respondeu:
Revogamos rapidamente todas as chaves e certificados da plataforma de testes relatada e, embora ainda não tenhamos encontrado evidências de que algum acesso externo ocorreu, estamos investigando isso ainda mais.
Segundo Hussein, até 30 de abril as chaves privadas do GitLab foram revogadas, e ele é citado dizendo: "Eu não vi uma empresa tão grande lidar com sua infraestrutura usando práticas estranhas como essa". Quando o TechCrunch fez perguntas específicas sobre o incidente, ou para provar que era apenas para ambientes de teste, a Samsung recusou.
Este é apenas mais um exemplo de como as práticas de segurança adequadas estão se tornando cada vez mais importantes nos dias de hoje, à medida que a tecnologia entra em todos os aspectos de nossas vidas.
Hands-on prático do Google Nest Hub Max: um ótimo multifuncional para sua casa inteligente
Podemos ganhar uma comissão por compras usando nossos links. Saber mais.
