Hightech

HIGHTECH

22.01.2020 - 11:30 | pressetext.redaktion
22.01.2020 - 06:05 | pressetext.redaktion
21.01.2020 - 11:30 | pressetext.redaktion

BUSINESS

22.01.2020 - 13:00 | Treasury Intelligence Solutions GmbH
22.01.2020 - 12:40 | DoN group
22.01.2020 - 12:30 | pressetext.redaktion

MEDIEN

22.01.2020 - 10:30 | pressetext.redaktion
22.01.2020 - 06:15 | pressetext.redaktion
21.01.2020 - 10:30 | pressetext.redaktion

LEBEN

22.01.2020 - 13:30 | pressetext.redaktion
22.01.2020 - 11:45 | Financial Planning Standards Board Deutschland e.V.
22.01.2020 - 10:05 | Pure Bio Energy
pte20190509041 Technologie/Digitalisierung, Forschung/Entwicklung

Samsung-Leck bei Sourcecode und Passwörtern

Sicherheitsforscher Mossab Hussein findet grobe Fehler bei Einstellungen des GitLab-Repositorys


Samsung: Unternehmen in Erklärungsnot (Foto: unsplash.com, Kote Puerto)
Samsung: Unternehmen in Erklärungsnot (Foto: unsplash.com, Kote Puerto)

Seoul (pte041/09.05.2019/13:47) - Der Sicherheitsexperte Mossab Hussein hat ein gravierendes Sicherheitsleck im System von Samsung http://samsung.com entdeckt, wie "TechCrunch" schreibt. Dem Fachmann zufolge bestand das Leak bei zahlreichen Sourcecode-Dateien sowie bei sicherheitsrelevanten Zugangsdaten. Grobe Fehler bei den Einstellungen des GitLab-Repositorys sollen verantwortlich dafür gewesen sein.

Das Sicherheitsleck ist deshalb so gravierend, weil eine von Samsung gehostete GitLab-Instanz laut Hussein betroffen war - ein Ort, wo viele Projekte von Samsung vorangetrieben werden. Möglich war das öffentliche Einsehen für Fachleute wie Hussein nur deshalb, weil ein Mitarbeiter des südkoreanischen Unternehmens offenbar die Projekte als "public" definiert hat. Zusammen mit einem mangelhaften Passwortschutz konnte praktisch jeder die Projekte von außen einsehen und sich den entsprechenden Sourcecode downloaden.

Konzern spielt Vorfall herunter

Besonders brisant: Nicht nur die Sourcecode-Dateien konnte Hussein finden. Auch stöberte er in einem Projekt die Zugangsdaten zum vollständig genutzten AWS-Zugang auf. Dieser ermöglicht den Zugriff auf 100 sogenannte S3-Storage-Buckets. Diese beinhalten Analysedaten und Log-Dateien, die sich problemlos auslesen lassen konnten. Vor allem umfangreiche Analysedaten zu den SmartThings- und Bixby-Diensten ließen den Sicherheitsforscher aufhorchen. Doch auch private GitLab-Tokens - und das auch noch im Klartext - zu weiteren Projekten waren vorhanden.

So wäre für einen Angreifer der Sourcecode zu manipulieren gewesen, wie Hussein schildert. Eigenen Angaben nach hat er seinen Fund am 10. April Samsung bekannt gegeben. Der Konzern versucht indes die Sache herunterzuspielen und verweist darauf, dass es sich bei der betroffenen Instanz lediglich um eine "Testplattform" gehandelt habe. Das Unternehmen habe zudem bis zum 30. April gebraucht, um die privaten GitLab-Keys zu sperren.

(Ende)
Aussender: pressetext.redaktion
Ansprechpartner: Florian Fügemann
Tel.: +43-1-81140-313
E-Mail: fuegemann@pressetext.com
Website: www.pressetext.com
|
|
98.284 Abonnenten
|
176.990 Meldungen
|
71.905 Pressefotos

IR-NEWS

Top