Инженеры компании ASUS разместили внутренние пароли в открытом виде на GitHub



    Вопрос информационной безопасности в крупных компаниях — один из самых важных. Во всяком случае, так должно быть в теории. На практике получается несколько иначе. Так, компания ASUS долгое время публиковала внутренние пароли сотрудников в репозиториях на GitHub.

    Обнаружил проблему специалист по кибербезопасности из компании SchizoDuckie. Он опробовал несколько связок логин/пароль и оказалось, что они подходят к электронной почте компании, внутренней переписке, где демонстрировались прототипы приложений, новые драйвера и разного рода программные инструменты.

    Правда, пароли публиковали не все сотрудники компании, а лишь один из них — разработчик, который регулярно обновлял репозитории. Он размещал пароли открытом виде в течение нескольких месяцев. После тщательного изучения других репозиториев выяснилось, что некоторые пароли публиковались и другими разработчиками.

    Возможно, именно благодаря этой проблеме хакеры получили доступ к серверам компании, изменив официальное программное обеспечение. Несколько дней назад стало известно, что в течение многих месяцев ASUS распространяла зараженное ПО через сервис Live Update, снабдив оригинальным сертификатом.

    Стоит отметить, что проблема актуальна не только для ASUS — подобные ошибки допускают и другие компании. Все это связано с невнимательностью сотрудников, работающих с ценными данными.
    Поделиться публикацией

    Комментарии 2

      +5
      «Осел, груженный золотом, возьмёт любую крепость.» — Македонский.

      «Иногда, достаточно просто осла» — Анонимный хакер.

        0

        Походу одна связка логина/пароля подошла и к гитхабу. Мечта хакера.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое