Förra månaden upptäcktes att en GitLab-instans för Vandev Lab, som ägs av Samsung, inte hade säkrat sina projekt med ett lösenord. Som sådant ställdes dussintals interna kodningsprojekt för olika Samsung-appar, tjänster och projekt till allmänhet, vilket i sin tur gav ytterligare tillgång till Samsung-projekt, inklusive dess populära smarta hemekosystem SmartThings.
Utan att säkert säkra projekten med ett lösenord gav det någon möjlighet att se källkoden, ladda ner den eller till och med göra ändringar.
En säkerhetsforskare från SpiderSilk vid namn Mossab Hussein avslöjade förflutit i säkerhet den 10 april och rapporterade det till Samsung. I sina fynd hade han tillgång till hela AWS-kontot inklusive över hundra S3-lagringshinkar med loggar och analysdata.
Loggarna och analyserna omfattade Samsung-produkter som SmartThings och Bixby-tjänster, samt flera anställdas privata GitLab-symboler i ren text. Med användning av dessa symboler kunde Hussein komma åt mellan 45 och 135 offentliga och privata projekt.
När han kontaktade Samsung fick Hussein höra att några av filerna var för testning, men han var snabb att påpeka källkoden för den aktuella versionen av Android SmartThings-appen var närvarande. Appen har dock uppdaterats sedan deras konversation.
Den farligaste delen av denna åtkomst är att Hussein med GitLab-symbolerna kunde ha gjort ändringar i Samsungs kod. Han sade:
Det verkliga hotet ligger i möjligheten att någon får denna nivå av åtkomst till programkällkoden och injicerar den med skadlig kod utan att företaget vet det.
AWS-uppgifterna återkallades några dagar efter att Hussein kontaktade Samsung, men det har inte verifierats om de hemliga nycklarna och certifikaten fick liknande behandling. Som det är nu har Samsung fortfarande inte stängt sårbarhetsrapporten nästan en månad efter att den först rapporterades. När Zach Dugan bad om en kommentar, svarade emellertid en Samsung-talesman:
Vi återkallade snabbt alla nycklar och certifikat för den rapporterade testplattformen och även om vi ännu inte har hittat bevis för att extern åtkomst inträffat undersöker vi detta för närvarande.
Enligt Hussein tog det fram till 30 april för att de privata nycklarna från GitLab skulle återkallas, och han citeras och säger: "Jag har inte sett ett företag så stort hantera deras infrastruktur med konstiga metoder som det." När TechCrunch ställde specifika frågor om händelsen, eller för att bevisa att det bara var för testmiljöer, avslog Samsung.
Detta är bara ytterligare ett exempel på hur korrekt säkerhetspraxis blir allt viktigare i dag när tekniken hittar sin väg till alla aspekter av våra liv.
Google Nest Hub Max hands-on: En fantastisk allt-i-ett för ditt smarta hem
Vi kan tjäna en provision för inköp med våra länkar. Läs mer.
![Skanna luftvågorna efter kryptiska ledtrådar i alt-frekvenser! [veckans Android-spel]](https://img.androidermagazine.com/img/games/944/scan-airwaves-cryptic-clues-alt-frequencies.jpg "Skanna luftvågorna efter kryptiska ledtrådar i alt-frekvenser! [veckans Android-spel]")
