El mes pasado, se descubrió que una instancia de GitLab para Vandev Lab, propiedad de Samsung, no había asegurado sus proyectos con una contraseña. Como tal, docenas de proyectos de codificación interna para varias aplicaciones, servicios y proyectos de Samsung se pusieron a disposición del público, lo que a su vez proporcionó un mayor acceso a los proyectos de Samsung, incluido su popular ecosistema de hogares inteligentes SmartThings.
Sin proteger adecuadamente los proyectos con una contraseña, le dio a cualquiera la posibilidad de ver el código fuente, descargarlo o incluso hacer cambios.
Un investigador de seguridad de SpiderSilk llamado Mossab Hussein descubrió el lapso en seguridad el 10 de abril y lo informó a Samsung. En sus hallazgos, tuvo acceso a toda la cuenta de AWS, incluidos más de cien cubos de almacenamiento S3 que contienen registros y datos analíticos.
Los registros y análisis cubrieron los productos de Samsung, como los servicios SmartThings y Bixby, así como los tokens GitLab privados de varios empleados en texto sin formato. Con el uso de estos tokens, Hussein pudo acceder a entre 45 y 135 proyectos públicos y privados.
Cuando contactó a Samsung, le dijeron a Hussein que algunos de los archivos eran para probar, pero se apresuró a señalar el código fuente de la versión actual de la aplicación Android SmartThings. Sin embargo, la aplicación se ha actualizado desde su conversación.
La parte más peligrosa de este acceso es que, con los tokens GitLab, Hussein podría haber realizado cambios en el código de Samsung. Él afirmó:
La verdadera amenaza radica en la posibilidad de que alguien adquiera este nivel de acceso al código fuente de la aplicación e inyecte código malicioso sin que la compañía lo sepa.
Las credenciales de AWS se revocaron unos días después de que Hussein contactara a Samsung, pero no se ha verificado si las claves secretas y los certificados recibieron un tratamiento similar. Tal como está ahora, Samsung todavía no ha cerrado el informe de vulnerabilidad casi un mes después de que se informó por primera vez. Sin embargo, cuando se le pidió un comentario, Zach Dugan, un portavoz de Samsung respondió:
Revocamos rápidamente todas las claves y certificados para la plataforma de prueba informada y, aunque todavía no hemos encontrado evidencia de que se haya producido ningún acceso externo, actualmente estamos investigando esto más a fondo.
Según Hussein, se necesitaron hasta el 30 de abril para revocar las claves privadas de GitLab, y se le cita diciendo: "No he visto a una empresa tan grande manejar su infraestructura utilizando prácticas extrañas como esa". Cuando TechCrunch hizo preguntas específicas sobre el incidente, o como prueba de que solo era para probar entornos, Samsung se negó.
Este es solo otro ejemplo de cómo las prácticas de seguridad adecuadas se están volviendo cada vez más importantes a medida que la tecnología se abre camino en todos los aspectos de nuestras vidas.
Google Nest Hub Max práctico: un gran todo en uno para su hogar inteligente
Podemos ganar una comisión por compras usando nuestros enlaces. Aprende más.
