三星SmartThings等十多项项目源码、加密密钥被公开于网络

安全研究人员发现韩国大厂三星存放了十多项项目等机密信息,包括SmartThings的程序源码、帐密和加密密钥的文件夹未设密码公开于网络上,恐有外泄之虞。

安全公司SpiderSilk研究人员Mossab Hussein首先发现这批信息,并告知了Techcrunch。他发现,托管于三星域名Vandev Lab的GitLab执行实例(instance)被设为“公开”且未设置密码保护,上面有10多个三星内部项目,包括智能家庭产品SmartThings的研发演示文稿档、文件档、程序代码、登录帐密、加密密钥等,让知道路径的所有人都可以一探究竟并下载。

例如,研究人员在GitLab执行实例上发现SmartThings iOS和Android App的凭证。另有个项目暴露通往AWS 100多个S3文件夹的帐密,内置分析数据及log,其中有多个含有三星SmartThings和AI人工智能Bixby的log和分析数据。此外,还有多名员工的GitLab令牌以明码存储,让研究人员得以再进入其他135个项目中,包括一些不公开的项目。

研究人员在4月10日通报三星,三星已经取消曝光的AWS登录帐密,但其他机密像是密钥、凭证是否取消则不得而知。三星当时告诉研究人员说这些都只是测试数据,但研究人员看到的某个Android App程序代码,和4月上架Google Play的版本完全一样,显示并不只有初期数据而已。研究人员指出,除了三星研发机密外泄的风险外,一旦有心人取得这些凭证和程序代码,还可能在其中注入恶意程序代码,而危害为数众多的用户。

三星表示,没有发现这些文件遭人访问或篡改的迹象。