科技改變生活 · 科技引領(lǐng)未來
科技改變生活 · 科技引領(lǐng)未來
當(dāng)我們談到數(shù)據(jù)泄漏時,我們通常會以為所涉公司是黑客的受害者,但事實證明,就三星而言,這僅僅是過失。與用戶名,電子郵件和密碼相反,數(shù)據(jù)泄漏涉及其某些應(yīng)用程序的源代碼。那可能只是冰山一角。
充其量,沒有人發(fā)現(xiàn)他們可以訪問這些資源,而敞開的門仍未打開。最糟糕的是,有些人不僅可以訪問Bixby和SmartThings的源代碼,而且還可以訪問其他一些項目。
SpiderSilk的安全研究員Mossab Hussein發(fā)現(xiàn)了此問題。他注意到,GitLab上實際上有許多三星項目。開發(fā)人員通常會繼續(xù)使用這種服務(wù),但是他們應(yīng)該在密碼后面。
一些開發(fā)人員可能已經(jīng)厭倦了在處理項目時不得不不斷輸入密碼并擺脫了密碼。問題是公司外部的某人可能已經(jīng)下載了包含專有數(shù)據(jù)的項目。
根據(jù)TechCrunch上的一份報告,Mossab Hussein獲得的訪問級別比幾個項目更加一致。研究人員設(shè)法找到了以明文形式存儲的私有GitLab令牌,從而打開了更多的大門。實際上,其中一個令牌授予他訪問超過135個項目的權(quán)利,其中許多實際上是私有的。
還有其他一些問題。出于某些惡意目的的人可能會使用此訪問權(quán)限將惡意軟件注入應(yīng)用程序。然后,其他公司確實有可能掌握專有代碼。
李原遠(yuǎn)