Samsung expone accidentalmente el codigo fuente de las aplicaciones

samsung

Samsung ahora está investigando una fuga masiva de datos que podría haber expuesto el código fuente a terceros para varios proyectos, incluidos Bixby y SmartThings.

Cuando nos dirigimos a las filtraciones de datos, solemos imaginar que la empresa en cuestión fue víctima de piratas informáticos, pero resulta que en el caso de Samsung solo fue negligencia. A diferencia de los nombres de los usuarios, correos electrónicos y contraseñas, la fuga de datos involucra el código fuente de algunas de sus aplicaciones. Y eso es probablemente la punta del iceberg.

En el mejor de los casos, nadie se dio cuenta de que podrían haber accedido a los recursos y la puerta abierta permaneció sin abrir. En el peor de los casos, algunas personas obtuvieron acceso no solo al código fuente de Bixby y SmartThings, sino también a otros proyectos.

El problema fue descubierto por Mossab Hussein , un investigador de seguridad para SpiderSilk. Notó que varios proyectos de Samsung estaban realmente disponibles en GitLab. Los desarrolladores a menudo mantienen su trabajo en este tipo de servicio, pero deberían usar una contraseña.

Algunos desarrolladores probablemente se cansaron de tener que ingresar constantemente la contraseña cuando trabajaban con el proyecto y se deshicieron de ella. El problema es que alguien de fuera de la empresa podría haber descargado los proyectos, que contienen datos de propiedad.

Según un informe de TechCrunch , el nivel de acceso obtenido por Mossab Hussein fue mucho más consistente que un par de proyectos. El investigador logró encontrar tokens privados de GitLab almacenados en texto plano, y eso abrió muchas más puertas. De hecho, uno de los tokens le permitió acceder a más de 135 proyectos, muchos de los cuales eran en realidad privados.

Hay varios problemas adicionales. Alguien con algunas intenciones nefastas podría haber utilizado el acceso para inyectar malware en las aplicaciones. Y luego está la posibilidad real de que otras compañías puedan obtener su código de propiedad.

Para empeorar las cosas, Mossab Hussein notificó Samsung del problema el 10 de abril ª , pero la compañía no reconoció durante más de 20 días. Por supuesto, las credenciales fueron revocadas y Samsung dice que, por lo que se puede decir, no han encontrado ninguna evidencia de manipulación o acceso.

Semrush sigue a tu competencia


Fecha actualización el 2019-05-10. Fecha publicación el 2019-05-10. Categoria: samsung Autor: Oscar olg Mapa del sitio Fuente: softpedia Version movil