據(jù)外媒報(bào)道，迪拜網(wǎng)絡(luò)安全公司SpiderSilk的安全研究員莫薩布·侯賽因(Mossab Hussein)最近發(fā)現(xiàn)，三星工程師使用的某開發(fā)實(shí)驗(yàn)室泄露了其多個(gè)內(nèi)部項(xiàng)目的高度敏感源代碼、憑證和密鑰，其中包括其SmartThings平臺(tái)項(xiàng)目。

這家電子巨頭將幾十個(gè)內(nèi)部編碼項(xiàng)目留在了三星旗下實(shí)驗(yàn)室Vandev Lab上的GitLab實(shí)例中。這個(gè)實(shí)例被工作人員用來(lái)共享三星的各種應(yīng)用、服務(wù)和項(xiàng)目，并為其貢獻(xiàn)代碼。由于這些項(xiàng)目被設(shè)置為“公共”，而且沒(méi)有用密碼進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，因此任何人都可以深入查看每個(gè)項(xiàng)目的進(jìn)展，訪問(wèn)和下載源代碼，從而導(dǎo)致絕密信息泄露。

侯賽因表示，其中一個(gè)項(xiàng)目包含的憑證允許任何人訪問(wèn)三星工程師正在使用的完整AWS帳戶，里面包括100多個(gè)S3存儲(chǔ)桶，其中包含日志和分析數(shù)據(jù)。

此外，許多文件夾包含三星SmartThings和Bixby服務(wù)的日志和分析數(shù)據(jù)，但也有幾名員工公開的、以明文形式存儲(chǔ)的私有GitLab令牌，這使得侯賽因能夠利用42個(gè)公共項(xiàng)目獲得的信息對(duì)另外135個(gè)項(xiàng)目進(jìn)行訪問(wèn)，包括許多私人項(xiàng)目。

三星表示，其中一些文件是用于測(cè)試的，但侯賽因?qū)@一說(shuō)法提出質(zhì)疑，稱在GitLab存儲(chǔ)庫(kù)中發(fā)現(xiàn)的源代碼與4月10日在谷歌應(yīng)用店Google Play上發(fā)布的安卓（Android）應(yīng)用程序包含的代碼相同。這個(gè)應(yīng)用程序已經(jīng)更新過(guò)，到目前為止已經(jīng)安裝了1億多次。

侯賽因還分享了幾張其相關(guān)發(fā)現(xiàn)的截圖和一段視頻，供人們檢查和驗(yàn)證。公開的GitLab實(shí)例還包含三星SmartThings的iOS和安卓應(yīng)用程序的私有證書。

侯賽因還在泄露文件中發(fā)現(xiàn)了幾份內(nèi)部文件和幻燈片。他說(shuō)：“真正的威脅在于有人可能獲得對(duì)應(yīng)用程序源代碼這種高級(jí)別的訪問(wèn)，并在公司不知情的情況下向其注入惡意代碼。”

侯賽因還稱，通過(guò)公開的密匙和令牌，他記錄了大量的訪問(wèn)權(quán)限，如果被惡意行為者獲得，可能會(huì)導(dǎo)致“災(zāi)難性后果”。

在侯賽因首次披露這個(gè)問(wèn)題近一個(gè)月后，三星仍未了結(jié)侯賽因的漏洞報(bào)告。

在接下來(lái)的幾天里，三星開始撤銷AWS憑證，但尚不清楚其余的密鑰和憑證是否被吊銷。

三星發(fā)言人扎克·杜根(Zach Dugan)表示：“最近，一位個(gè)人安全研究員報(bào)告說(shuō)，我們一個(gè)測(cè)試平臺(tái)的安全獎(jiǎng)勵(lì)計(jì)劃存在漏洞。我們迅速撤銷了其報(bào)告測(cè)試平臺(tái)的所有密鑰和憑證，雖然我們尚未找到任何外部訪問(wèn)的證據(jù)，但我們目前正在對(duì)此進(jìn)行進(jìn)一步調(diào)查?！?/p>

侯賽因說(shuō)，三星直到4月30日才撤銷GitLab的私鑰。三星拒絕回答具體問(wèn)題，也沒(méi)有提供任何證據(jù)證明三星擁有的開發(fā)環(huán)境是用于測(cè)試的。

侯賽因稱，三星的數(shù)據(jù)泄露是他迄今最大的發(fā)現(xiàn)。他說(shuō)：“我還沒(méi)有見過(guò)這么大的一家公司使用這種奇怪的做法來(lái)處理他們的基礎(chǔ)設(shè)施。”