Bulan lalu, ditemukan bahwa instance GitLab untuk Vandev Lab, yang dimiliki oleh Samsung, belum mengamankan proyeknya dengan kata sandi. Dengan demikian, puluhan proyek pengkodean internal untuk berbagai aplikasi, layanan, dan proyek Samsung ditetapkan untuk publik, yang pada gilirannya memberikan akses lebih lanjut ke proyek-proyek Samsung, termasuk ekosistem rumah pintar populer SmartThings.
Tanpa mengamankan proyek dengan kata sandi, itu memberi siapa pun kemampuan untuk melihat kode sumber, mengunduhnya, atau bahkan membuat perubahan.
Seorang peneliti keamanan dari SpiderSilk bernama Mossab Hussein mengungkap kesalahan keamanan pada 10 April dan melaporkannya ke Samsung. Dalam temuannya, ia memiliki akses ke seluruh akun AWS termasuk lebih dari seratus ember penyimpanan S3 yang berisi log dan data analitik.
Log dan analitik mencakup produk Samsung seperti layanan SmartThings dan Bixby, serta token GitLab pribadi beberapa karyawan dalam teks biasa. Dengan menggunakan token ini, Hussein dapat mengakses antara 45 dan 135 proyek publik dan swasta.
Ketika dia menghubungi Samsung, Hussein diberitahu beberapa file untuk pengujian, tetapi dia dengan cepat menunjukkan kode sumber untuk versi saat ini dari aplikasi Android SmartThings. Aplikasi telah diperbarui sejak percakapan mereka.
Bagian paling berbahaya dari akses ini adalah bahwa, dengan token GitLab, Hussein bisa membuat perubahan pada kode Samsung. Dia telah menyatakan:
Ancaman sebenarnya terletak pada kemungkinan seseorang memperoleh tingkat akses ke kode sumber aplikasi ini, dan menyuntikkannya dengan kode jahat tanpa diketahui perusahaan.
Kredensial AWS dicabut beberapa hari setelah Hussein menghubungi Samsung, tetapi belum diverifikasi jika kunci dan sertifikat rahasia menerima perlakuan serupa. Seperti sekarang, Samsung masih belum menutup laporan kerentanan hampir sebulan setelah pertama kali dilaporkan. Namun, ketika dimintai komentar, Zach Dugan, juru bicara Samsung menjawab:
Kami dengan cepat mencabut semua kunci dan sertifikat untuk platform pengujian yang dilaporkan dan sementara kami belum menemukan bukti bahwa ada akses eksternal terjadi, kami saat ini sedang menyelidiki ini lebih lanjut.
Menurut Hussein, butuh hingga 30 April untuk kunci pribadi GitLab dicabut, dan dia dikutip mengatakan, "Saya belum melihat perusahaan sebesar ini menangani infrastruktur mereka menggunakan praktik aneh seperti itu." Ketika TechCrunch mengajukan pertanyaan spesifik tentang insiden tersebut, atau sebagai bukti itu hanya untuk lingkungan pengujian, Samsung menolak.
Ini hanyalah contoh lain dari bagaimana praktik keamanan yang tepat menjadi semakin penting saat ini ketika teknologi menemukan jalannya ke dalam setiap aspek kehidupan kita.
Praktik langsung Google Nest Hub Max: All-in-one yang hebat untuk rumah pintar Anda
Kami dapat memperoleh komisi untuk pembelian menggunakan tautan kami. Belajarlah lagi.
