信息来源：互联网   发布时间：2023-09-12

心，哇凉哇凉的

 

▲点击上方 雷锋网 关注

三星称，泄露的文件有些只是用于内部测试，不会影响到实际的用户体验 文 | 灵火K “你要是像三星那么会作，早都成网红了！”宅宅一想，说的嘚：三星这两年的确有点儿背，先是S7爆炸门两天蒸发市值200亿美元，再是折叠屏手机被曝质量不过关不得不延期发售。

都说人倒霉了喝水都噻牙缝，看来厂商也一样这不，趁着老哥点儿背，黑客也给来了个回首~掏：据Techcrunch报道，SpiderSilk发现三星SmartThings等应用程序的敏感源代码和密钥遭到泄露，储存的AWS账户、日志、分析数据等被公开。

神补刀......

多个敏感源代码泄露SpiderSilk安全研究员Mossab Hussein发现了暴露的文件，一个项目包含的凭据允许访问正在使用的整个AWS账户，这其中包括100多个日志和分析数据的S3存储库发现问题后，SpiderSilk第一时间将情况上报了三星。

三星则回复称，泄露的文件有些只是用于内部测试，不会影响到实际的用户体验

对此，Hussein持反对态度他称，上述泄露的文件内容中，以明文形式存储的几个员工私有GitLab令牌被暴露，这使得攻击者能够从42个公共项目获得额外的访问权限到135个项目，这其中就包括许多私人项目“更令人担心的是，这些文件让我拥有了几个内部员工的私人令牌。

我完全可以用它访问GitLab上的全部135个项目，我甚至可以随意修改账户代码，让其变成我的东西”SmartThings应用或受牵连那么，此次事件会不会影响到消费者呢？Hussein称，三星在GitLab上留下了数十个内部编码项目实例托管在三星拥有的域名Vandev Lab上，工作人员在这里分享和贡献各种三星应用程序。

因为项目被设置为“公共”并且没有用密码正确保护，因此允许任何人查看每个项目，访问并下载源代码而在这些被暴露的GitLab实例中，还包含了三星SmartThings的iOS和Android应用程序的私有证书。

Hussein分享了几个屏幕截图和他发现的视频，供TechCrunch检查和验证

公开的AWS凭证的屏幕截图，允许使用GitLab私有令牌访问存储库“我在这些被暴露的文件的文件夹中找到了包含三星SmartThings和Bixby服务的日志以及分析数据我还在暴露的文件中发现了几个内部文档和幻灯片。

所以，真正的威胁在于攻击者有可能获得对应用程序源代码的访问权限，并在公司不知情的情况下向其注入恶意代码”SpiderSilk分析，目前在已经泄露的存储库中已经记录了大量访问，如果被恶意行为者获得可能是“灾难性的”后果。

尽管三星称被泄露内容只用于内部测试，但Hussein发现，实际上被泄露的GitLab存储库中的源代码包含与Android相同的代码，而该应用程序于4月10日在Google Play上发布目前，该应用程序已更新多次，迄今安装量超过一亿。

这里的应用程序，很可能指的就是基于iOS和安卓的SmartThings客户端这是三星为智能家居和消费者物联网构建的开放平台其构建了集线器，云平台和客户端应用程序，是目前智能家居设备的连接解决方案

Hussein称，三星的数据泄漏是我迄今为止最大的发现，我没有看到过有公司使用这种奇怪的做法来处理他们的基础设施另一边，在接下来的几天里三星开始撤销AWS凭证，但不知道剩余的密钥和证书是否已被撤销三星发言人扎克·杜根(Zach Dugan)表示：目前已经针对上报情况做了处理，但仍正在对此进行进一步调查。

”参考来源：Techcrunch- END -◆◆ ◆推荐阅读京东撤出澳大利亚市场，刘强东最新股权曝光；贝佐斯发布"蓝月"飞船；支付宝回应上线“发呗”孟晚舟再出庭，华为凌晨发布四点声明；滴滴回应「顺风车曾贡献九成净利润」；IBM开始发行债券

旷视宣布完成7.5亿美元D轮融资Google I/O 2019 全纪录 : AI 惊艳，Android Q 真香，还有两款新硬件微软 Build 2019：Windows 10 隐退，IE 重生，Azure 成主角

联想回怼网络谣言；微信漂流瓶功能正式下线 ；库克：不希望用户沉迷 iPhone

关于峰会购票信息，点击“阅读原文”了解详情~

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186