Інженери Samsung допустили витік вихідних кодів, секретних ключів і облікових даних низки проектів компанії, в тому числі платформи для управління “розумними” будинками SmartThings, пише Securitylab.
Витік виявив фахівець з кібербезпеки компанії SpiderSilk Моссаб Хуссейн (Mossab Hussein). За його словами, Samsung розмістила десятки своїх внутрішніх проектів в репозиторії на GitLab, не подбавши про належний захист. У результаті доступ до проектів і вихідних кодів міг отримати будь-хто.
В одному з випадків проект містив облікові дані для доступу до всього AWS екаунту, в тому числі більш ніж сотні S3 бакетів, що містили журнали і дані аналітики.
За словами Хуссейна, співробітники Samsung розмістили особисті токени авторизації в незашифрованому вигляді, що дозволило йому отримати доступ не тільки до логів і аналітичних даних сервісів SmartThings і Bixby, але і до десятків інших проектів, в тому числі до приватних.
Дослідник повідомив Samsung про витік 10 квітня. Представники компанії підтвердили виданню TechCrunch, що всі секретні ключі та сертифікати для них вже відкликані. Зараз компанія перевіряє, чи встиг хтось скористатися витоком.
До речі, серед встановлених на Вашому смартфоні додатків обов’язково знайдуться ті, які Ви запускаєте не частіше одного разу на рік, а то й рідше. З’ясувати, які програми Ви вже давно не використовували, можна буде за допомогою Google Play.
Нагадаємо, новий Android Q буде наділений можливістю, яка дозволить смартфону автоматично зрозуміти, якщо його власник потрапить у автокатастрофу.
Також останні версії браузерів UC Browser і UC Browser Mini для Android-пристроїв, що налічують понад 600 мільйонів завантажень, уразливі до URL-спуфінга. Уразливість була виявлена дослідником безпеки Аріфом Ханом (Arif Khan), який повідомив про неї розробника UC Web минулого місяця.
Окрім цього, компанія WhatsApp, яка належить Facebook, оновила свою сторінку підтримки операційних систем. Компанія додала нову операційну систему до списку ОС, для якої буде припинено оновлення.