Asus інженери відкрили паролі компанії на місяці на GitHub

Asus інженери відкрили паролі компанії на місяці на GitHub

Asus не має дуже хорошого березня. Існують нові свідчення про серйозні порушення безпеки працівників компанії, цього разу з участю GitHub. Ця новина виникає напередодні проблеми безпеки, з якою компанія все ще має справу.

На початку цього тижня «Лабораторія Касперського» та Symantec публічно заявили, що серйозне порушення безпеки в Asus поставило клієнтів компанії під загрозу. За даними Лабораторії Касперського, до мільйона систем могли бути заражені зламаною версією програмного забезпечення LiveUpdate Asus, як частина цілі орієнтування на 600 дуже конкретних користувачів за MAC-адресою. Asus випустила заяву про атаки, що підтверджує, що штурм був класифікований як APT (Advanced Persistent Threat), тип атаки, зазвичай розгортається національними державами або потенційно в корпоративному шпигунстві, а не звичайними хакерами.

Аналітик з безпеки, який йде за SchizoDuckie, зв'язався з Techcrunch, щоб поділитися інформацією про порушення безпеки, які він виявив у людському брандмауері Asus. За його словами, Asus неправильно публікував власні паролі співробітників у сховищах GitHub. Йому вдалося отримати доступ до внутрішньої електронної пошти компанії, внаслідок чого спільно використовувалися нічні програми, драйвери та інструменти. Рахунок належав інженерові, який, як повідомлялося, залишив його відкритим принаймні протягом року. TC повідомляє, що SchizoDuckie поділився знімками, щоб підтвердити свої висновки, хоча вони не були звільнені.

TechCrunch означає, що ця уразливість не є тим, як хакери з попередньої атаки отримали доступ до серверів Asus, написавши:

Висновки дослідника не зупинили б хакерів, які орієнтувалися на інструмент для оновлення програмного забезпечення Asus із бекдором, що виявилися на цьому тижні, але виявляють яскравий провал безпеки, який міг би поставити компанію під загрозу від подібних або інших атак. 31 січня компанія Kaspersky попередила компанію Asus - щойно напередодні розкриття дослідника 1 лютого - хакери встановили бекдор в додатку компанії Asus Live Update. Додаток було підписано сертифікатом Asus та розміщено на серверах завантаження компанії.

Не зовсім зрозуміло, чи точно Asus визначив, яким чином було скомпрометовано його додаток LiveUpdate. Імовірно, додаток було скомпрометовано з липня по листопад минулого року, а обліковий запис GitHub з опублікованими паролями був активний принаймні за рік до того, як розкриття було зроблено до Asus 1 лютого. SchizoDuckie також повідомила про пошук паролів компаній, які виставляються на GitHub на двох облікових записах інших інженерів.

Новий: дослідник безпеки попереджав Asus місяці тому, що відкриті паролі ставлять мережу компанії під загрозу злому. Один пароль облікового запису надав йому доступ до поштової скриньки електронної пошти, яка використовувалася для спільного використання нічних програм, драйверів та інструментів для власників комп'ютерів .https: //t.co/wl2yXZr4fI

- Зак Віттекер (@zackwhittaker) 27 березня 2019 року

"Компанії не мають поняття про те, що їхні програмісти роблять зі своїм кодом на GitHub," сказав SchizoDuckie. Компанія Asus заявила, що не може перевірити претензії Schizo, але "Asus активно вивчає всі системи, щоб видалити всі відомі ризики з наших серверів і підтримуючого програмного забезпечення, а також забезпечити відсутність витоку даних".

Такі питання безпеки не є унікальними для Asus - ми бачили цілу низку компаній, прибитих невдалою інформацією, - але вони говорять про те, наскільки складною є проблема забезпечення сучасної інфраструктури і наскільки простий витік даних.

Читати далі

Новий Mac Teardowns демонструє компанію Apple M1 Engineering під капотом
Новий Mac Teardowns демонструє компанію Apple M1 Engineering під капотом

iFixit розібрав MacBook Air та MacBook Pro, що працюють на M1, даючи нам поглянути на одну з останніх незвіданих основних областей цих продуктів: їх основний фізичний дизайн.

Належність AMD на TSMC не шкодить перспективам зростання компанії
Належність AMD на TSMC не шкодить перспективам зростання компанії

Придбати високоякісні компоненти ПК було важко майже півроку. Для цього існує ряд причин, включаючи наслідки пандемії, сплеск попиту на все обчислювальне обладнання та дефіцит постачання. Багато очних яблук пройшли навчання на таких ливарних заводах, як TSMC, до такої міри, що національні уряди поставили ...

Штально, Google є єдиною компанією, яка любить альтернативу для відстеження Google
Штально, Google є єдиною компанією, яка любить альтернативу для відстеження Google

Mozilla, Microsoft, Duckduckgo, і багато інших, сказали, що вони не підтримують Floc, але Google може не потребувати їх, щоб підробляти вперед.

Активізійний позов вимагає закінчення культури компанії "Frat Boy"
Активізійний позов вимагає закінчення культури компанії "Frat Boy"

Більше двох років Каліфорнійський відділ справедливої ​​зайнятості та житла досліджував Activision Blizzard Inc. для "порушень громадянських прав держави та рівних законів". Дослідження розкрило різноманітність несправедливого поведінки, яка коливається від несправедливого до злочинного злочинця.