Engenheiros de desenvolvimento da Samsung deixaram dados sensíveis de projetos e aplicações expostos na internet. De acordo com o TechCrunch, foi possível acessar credenciais, códigos-fonte e chaves secretas para projetos internos e a plataforma SmartThings, que conecta dispositivos da Sammy entre si.
Os dados estavam expostos em um Gitlab dentro dos domínios da Samsung, o Vandev Lab. Por ali, funcionários da Samsung trocavam códigos e contribuíam para diferentes projetos. Agora, o motivo da brecha: todo o diretório estava configurado para acesso público, sem qualquer tipo de senha para acesso. Isso significa que não foi necessário qualquer tipo de ferramenta especial ou hacking para acessar os dados.
No total, de 135 projetos abertos, 42 estavam públicos e foram acessados
A descoberta foi feita pelo pesquisador de segurança Mossab Hussein, da empresa de cibersegurança SpiderSilk. Segundo Hussein, entre os documentos, estava um código-fonte para projetos da plataforma SmartThings e Bixby, credenciais para acesso à conta do Amazon Web Service, tokens GitLab de funcionários, além de logs e dados de análise.
Exposição
No total, de 135 projetos abertos, 42 estavam públicos e foram acessados. “A ameaça real está na possibilidade de alguém adquirir esse nível de acesso ao código-fonte do aplicativo e injetá-lo com códigos maliciosos sem que a empresa saiba", disse Hussein.
A Samsung já corrigiu a brecha — 20 dias após ser alertada pelo pesquisador.
Fontes
Categorias
