Инженеры Asus на протяжении многих месяцев выставляли пароли компании на GitHub

Инженеры Asus на протяжении многих месяцев выставляли пароли компании на GitHub

У Asus не очень хороший март. Есть новые обвинения в серьезных нарушениях безопасности со стороны сотрудников компании, на этот раз с участием GitHub. Новости идут по пятам за проблему безопасности, с которой компания все еще сталкивается.

Ранее на этой неделе Лаборатории Касперского и Symantec публично заявили, что серьезное нарушение безопасности в Asus подвергло риску клиентов компании. По данным «Лаборатории Касперского», до миллиона систем могли быть заражены взломанной версией программного обеспечения Asus LiveUpdate, что является целью нацеливания ~ 600 очень определенных пользователей по MAC-адресу. Asus опубликовал заявление об атаках, подтверждающее, что нападение было классифицировано как APT (Advanced Persistent Threat), тип атаки, обычно используемый национальными государствами или потенциально в корпоративном шпионаже, а не обычными хакерами.

Аналитик по безопасности, который работает в SchizoDuckie, связался с Techcrunch, чтобы поделиться подробностями о бреши в системе безопасности, которую он обнаружил в брандмауэре Asus. По его словам, Asus неправильно публиковал собственные пароли сотрудников в репозиториях на GitHub. В результате он получил доступ к внутренней электронной почте компании, где были предоставлены ночные сборки приложений, драйверов и инструментов. Аккаунт принадлежал инженеру, который, по сообщениям, оставил его открытым, по крайней мере, в течение года. TC сообщает, что SchizoDuckie поделился скриншотами, чтобы подтвердить его выводы, хотя они не были выпущены.

TechCrunch подразумевает, что эта уязвимость не так, как хакеры от предыдущей атаки получили доступ к серверам Asus, написав:

Выводы исследователя не остановили бы хакеров, которые нацелены на инструмент обновления программного обеспечения Asus с помощью черного хода, обнародованного на этой неделе, но обнаружившего явную ошибку безопасности, которая могла подвергнуть компанию риску от подобных или других атак. Охранная компания «Касперский» предупредила Asus 31 января - всего за день до раскрытия исследователем 1 февраля - что хакеры установили черный ход в приложении Asus Live Update компании. Приложение было подписано сертификатом, выпущенным Asus, и размещено на серверах загрузки компании.

Неясно, определил ли Asus, как именно было скомпрометировано его приложение LiveUpdate. Предположительно, приложение было взломано с июля по ноябрь прошлого года, а учетная запись GitHub с опубликованными паролями была активна не менее года, прежде чем раскрытие было сделано Asus 1 февраля. Сроки значительно перекрываются. SchizoDuckie также сообщил, что обнаружил пароли компаний, выставленные на GitHub, в учетных записях двух других инженеров.

Новое: исследователь безопасности предупредил Asus несколько месяцев назад, что открытые пароли подвергают сеть компании риску взлома. Один пароль от учетной записи дал ему доступ к почтовому ящику электронной почты, который использовался для предоставления ночных сборок приложений, драйверов и инструментов владельцам компьютеров. Https://t.co/wl2yXZr4fI

- Зак Уиттакер (@zackwhittaker) 27 марта 2019 г.

«Компании не имеют ни малейшего понятия, что их программисты делают со своим кодом на GitHub», - сказал ШизоДуки. Asus заявила, что не может проверить заявления Schizo, но «Asus активно исследует все системы, чтобы устранить все известные риски с наших серверов и вспомогательного программного обеспечения, а также убедиться в отсутствии утечек данных».

Подобные проблемы безопасности не являются уникальными для Asus - мы видели ряд компаний, защищенных утечкой учетных данных, - но они говорят о том, насколько сложна задача обеспечения безопасности современной инфраструктуры и насколько легко утечка данных.

Читать далее

Цифровой многоэкранный опыт: скоро появится автомобиль рядом с вами
Цифровой многоэкранный опыт: скоро появится автомобиль рядом с вами

Автопроизводители и поставщики продолжают формировать свое видение цифрового автомобильного опыта. Мы пошли на CES 2018.

ET предложения Roundup: $ 200 Подарочная карта с Vizio M-Series 4K HDTV, $ 15 Fast Qi Wireless Charger и многое другое
ET предложения Roundup: $ 200 Подарочная карта с Vizio M-Series 4K HDTV, $ 15 Fast Qi Wireless Charger и многое другое

Фиксация, чтобы выгрузить некоторые из этих подарочных карт из праздников? Черт возьми, мы меньше месяца от Дня святого Валентина, так что, возможно, вы на охоте за некоторыми первоклассными подарками для своего значительного другого. Ну, мы выследили лучшие в мире онлайн-сделки для ноутбуков, телевизоров 4K и других гаджетов, и собрали их все здесь для вашего удобства.

ET Deals Roundup: до 30% от купонов ThinkPads, предварительный заказ Nintendo Labo и многое другое
ET Deals Roundup: до 30% от купонов ThinkPads, предварительный заказ Nintendo Labo и многое другое

Январь более чем на полпути - вы уже начали новую тренировку? Ну, вы можете найти скидки на новое оборудование, если знаете, где искать. Вы также можете выгрузить некоторые из этих подарочных карт на новом телевизоре или даже новом наборе Labo на основе картона Nintendo.

ET Deals Roundup: $ 270 от ноутбука Dell 1080p Gaming, $ 40 с двух эхо-пятен и многое другое
ET Deals Roundup: $ 270 от ноутбука Dell 1080p Gaming, $ 40 с двух эхо-пятен и многое другое

Большая игра очень, очень скоро - ваш телевизор достаточно большой? Если вы хотите обновить свой набор для большой партии, сегодняшние сделки выдающиеся. Вы также можете уловить доступный игровой ноутбук, предварительно заказать Nintendo Labo и даже подобрать удивительный комплект LEGO. Отличные предложения49-дюймовый Samsung QN49Q6F 4K Ultra HD Smart ...