近日,迪拜网络安全公司SpiderSilk的安全研究员Mossab Hussein发现,三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥,存储的AWS账户、分析数据、日志等机密数据均被公开,其中包括其SmartThings平台项目。
三星将几十个内部编码项目留在了三星旗下实验室Vandev Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目,并为其贡献代码。
由于这些项目被设置为“公共”,而且没有用密码进行适当的保护,因此任何人都可以深入查看每个项目的进展,访问和下载源代码,从而导致绝密信息泄露。
其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户,里面包括100多个S3存储桶,其中包含日志和分析数据。
许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据,但也有几名员工公开的、以明文形式存储的私有GitLab令牌,这使得Hussein能够利用42个公共项目获得的信息对另外135个项目进行访问,包括许多私人项目。
通过泄露的私钥和令牌,Hussein记录了大量访问请求,他说,如果被恶意者获得,结果可能是 “灾难性的”。
对此,三星回应称其中一些文件仅用于测试,但Hussein提出质疑,并提供了多张屏幕截图和视频,证明发生泄露的GitLab实例中包含三星SmartThings的iOS和安卓应用私有证书,且在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的安卓应用所包含的代码相同。截至目前,该应用经过升级已被安装超过1亿次。
公开的AWS凭证的屏幕截图
Hussein称,三星的数据泄露是他迄今最大的发现。他说:“我还没有见过这么大的一家公司使用这种奇怪的做法来处理他们的基础设施。”