三星多个项目代码泄露 包含SmartThings源代码和密钥

　　北京光阴5月9日早间消息，据美国科技媒体TechCrunch报导，一名信息平安研究员近期发现，三星工程师应用的一个开拓平台泄露了多个内部项目，包含三星SmartThings敏感的源代码、证书和密钥。

　　三星数十个自立编码项目出如今旗下Vandev Lab的GitLab实例中。该实例被三星员工用于分享并贡献各种应用、效劳和项偏向代码。因为这些项目被设置为“公开”，同时没有遭到密码的掩护，因此任何人都可以或许或许检查项目，获得并下载源代码。

　　迪拜信息平安公司SpiderSilk的平安研究员莫撒布·胡赛因（Mossab Hussein）发现了这些泄露的文件。他表示，某个项目包含的证书允许访问正在应用的全体AWS帐号，包含100多个S3存储单位，此中保留了日志和阐发数据。

部分泄露代码截图

　　

　　三星回应称，此中一些文件是用于测试的，但胡赛因源颂岢鲋疑。他表示，在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的Android应用包含的代码相同。这款应用随后又有过进级，到目前为止的装配量已经超过1亿屡次。

　　胡赛因说：“我取得了一名用户的私有令牌，该用户可以或许完全访问GitLab上的统统135个项目。”因此，他可应用该员工的帐号去修改代码。

　　胡赛因还供给了多张屏幕截图和视频作为证据。泄露的GitLab实例中还包含三星SmartThings的iOS和Android应用的私有证书。