Проекты не были должным образом защищены паролем.
Лаборатория разработки Samsung случайно открыла доступ к исходному коду, учетным данным и секретным ключам для нескольких внутренних проектов, включая SmartThings.
Электронный гигант оставил десятки проектов внутреннего кодирования на GitLab с пометкой "общедоступные", пишет TechCrunch.
Сервис, который использовался сотрудниками для обмена и добавления кода в различные приложения, сервисы и проекты Samsung, передавал данные, потому что проекты не были должным образом защищены паролем, что позволяло любому заглянуть внутрь каждого проекта, получить доступ и загрузить исходный код.
Моссаб Хуссейн, исследователь безопасности в дубайской фирме SpiderSilk, обнаруживший открытые файлы, сказал, что один проект содержал учетные данные, которые позволяли получить доступ ко всей используемой учетной записи AWS, включая более 100 хранилищ S3, которые содержали журналы и аналитические данные.
По его словам, многие из папок содержали журналы и аналитические данные для сервисов Samsung SmartThings и Bixby, а также открытые личные маркеры GitLab нескольких сотрудников, хранящиеся в виде открытого текста, что позволило ему получить дополнительный доступ из 42 общедоступных проектов к еще 135 проектам.
Представители Samsung уверяют, что некоторые файлы предназначены для тестирования, но Хусейн оспорил утверждение, заявив, что исходный код, найденный в репозитории GitLab, содержит тот же код, что и Android приложение, опубликованное в Google Play 10 апреля.
Приложение, которое с тех пор было обновлено, на сегодня имеет более 100 миллионов установок.
"У меня был личный токен пользователя, который имел полный доступ ко всем 135 проектам на этом GitLab", - сказал Моссаб Хуссейн, добавив, что это могло позволить ему вносить изменения в код, используя собственную учетную запись сотрудника.
"Настоящая угроза заключается в том, что кто-то может получить этот уровень доступа к исходному коду приложения и внедрить в него вредоносный код без ведома компании", - сказал он.
Samsung подтвердила найденную уязвимость и уже приняла меры для ее устранения. Тем не менее, спустя почти месяц после того, как Моссаб Хуссейн впервые раскрыл проблему, расследование до сих пор не завершено.