У команды по безопасности ASUS март явно не задался. Появились новые обвинения в серьёзных нарушениях безопасности со стороны сотрудников компании, на этот раз с участием GitHub. Новость поступила вслед за скандалом, связанным с распространением уязвимостей через официальные серверы Live Update.
Аналитик по безопасности из SchizoDuckie связался с Techcrunch, чтобы поделиться подробностями о ещё одной бреши в безопасности, обнаруженной им в брандмауэре ASUS. По его словам, компания ошибочно публиковала собственные пароли сотрудников в репозиториях на GitHub. В результате он получил доступ к внутренней электронной почте компании, где сотрудники обменивались ссылками на ранние сборки приложений, драйверов и инструментов.
Аккаунт принадлежал инженеру, который, как сообщается, оставлял его открытым по крайней мере в течение года. SchizoDuckie также сообщил, что обнаружил внутренние пароли компании, опубликованные на GitHub в учётных записях двух других инженеров тайваньского производителя. Источник поделился с журналистами скриншотами, которые подтверждают его выводы, хотя сами изображения опубликованы не были.
Стоит отметить, что речь идёт о совершенно иной уязвимости по сравнению с предыдущей атакой, в которой хакеры получили доступ к серверам ASUS и модифицировали официальное ПО, встроив в него бэкдор (после чего ASUS добавила к нему сертификат подлинности и стала распространять по официальным каналам). Но в данном случае обнаружена ошибка безопасности, которая могла подвергнуть компанию риску аналогичных атак.
«Компании не имеют ни малейшего понятия, что их программисты делают со своим кодом на GitHub», — сказал SchizoDuckie. ASUS заявила, что не может проверить заявления специалиста, но активно проверяет все системы, чтобы устранить известные угрозы со своих серверов и вспомогательного ПО, а также убедиться в отсутствии утечек данных.
Подобные проблемы безопасности не являются уникальными для ASUS — нередко даже весьма крупные компании попадают в сходные ситуации, связанные с небрежностью сотрудников. Всё это говорит о том, насколько сложна задача обеспечения безопасности в современной инфраструктуре и насколько просто происходят утечки данных.
