
北京光阴5月9日早间消息,据美国科技媒体TechCrunch报导,一名信息平安研究员近期发现,三星工程师应用的一个开拓平台泄露了多个内部项目,包含三星SmartThings敏感的源代码、证书和密钥。
三星数十个自立编码项目出如今旗下Vandev Lab的GitLab实例中。该实例被三星员工用于分享并贡献各种应用、效劳和项偏向代码。因为这些项目被设置为“公开”,同时没有遭到密码的掩护,因此任何人都可以或许或许检查项目,获得并下载源代码。
迪拜信息平安公司SpiderSilk的平安研究员莫撒布·胡赛因(Mossab Hussein)发现了这些泄露的文件。他表示,某个项目包含的证书允许访问正在应用的全体AWS帐号,包含100多个S3存储单位,此中保留了日志和阐发数据。

三星回应称,此中一些文件是用于测试的,但胡赛因源颂岢鲋疑。他表示,在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的Android应用包含的代码相同。这款应用随后又有过进级,到目前为止的装配量已经超过1亿屡次。
胡赛因说:“我取得了一名用户的私有令牌,该用户可以或许完全访问GitLab上的统统135个项目。”因此,他可应用该员工的帐号去修改代码。
胡赛因还供给了多张屏幕截图和视频作为证据。泄露的GitLab实例中还包含三星SmartThings的iOS和Android应用的私有证书。