当我们谈到数据泄漏时,我们通常会以为所涉公司是黑客的受害者,但事实证明,就三星而言,这仅仅是过失。与用户名,电子邮件和密码相反,数据泄漏涉及其某些应用程序的源代码。那可能只是冰山一角。
充其量,没有人发现他们可以访问这些资源,而敞开的门仍未打开。最糟糕的是,有些人不仅可以访问Bixby和SmartThings的源代码,而且还可以访问其他一些项目。
SpiderSilk的安全研究员Mossab Hussein发现了此问题。他注意到,GitLab上实际上有许多三星项目。开发人员通常会继续使用这种服务,但是他们应该在密码后面。
一些开发人员可能已经厌倦了在处理项目时不得不不断输入密码并摆脱了密码。问题是公司外部的某人可能已经下载了包含专有数据的项目。
根据TechCrunch上的一份报告,Mossab Hussein获得的访问级别比几个项目更加一致。研究人员设法找到了以明文形式存储的私有GitLab令牌,从而打开了更多的大门。实际上,其中一个令牌授予他访问超过135个项目的权利,其中许多实际上是私有的。
还有其他一些问题。出于某些恶意目的的人可能会使用此访问权限将恶意软件注入应用程序。然后,其他公司确实有可能掌握专有代码。