Лаборатория разработок компании Samsung случайно предоставил доступ к исходному коду, учетным данным и ключам десятков внутренних проектов в системе управления репозиториями кода GitLab с пометкой "общедоступные".
Проекты в сервисе, который использовался сотрудниками для обмена кодами в разрабатываемые приложения, были открыты для всех, что позволяло сторонним пользователям заглянуть внутрь каждого проекта, получить доступ и загрузить исходный код.
Исследователь безопасности в дубайской фирме SpiderSilk Моссаб Хуссейн, который и обнаружил открытые файлы, отметил, что один проект содержал учетные данные, которые позволяли получить доступ ко всей используемой учетной записи AWS, включая более 100 хранилищ S3.
Папки содержали журналы и аналитические данные для сервисов Samsung SmartThings и Bixby, а также открытые личные маркеры GitLab нескольких сотрудников, которые хранились в виде открытого текста, что позволило получить дополнительный доступ из 42 общедоступных проектов к еще 135.
Хусейн также заявил, что исходный код, найденный в репозитории GitLab, содержит тот же код, что и Android-приложение, опубликованное в Google Play 10 апреля и уже имеет более 100 миллионов установок.
"У меня был личный токен пользователя, который имел полный доступ ко всем 135 проектам на этом GitLab", - сказал Моссаб Хуссейн.
По его словам, имеющийся доступ мог позволить ему вносить изменения в код, даже внедрить в него вредоносный код, используя учетную запись сотрудника компании.
Samsung уже приняла меры для устранения уязвимости, однако расследование до сих пор не завершено.
Напомним, компания Samsung намерена организовать новый эксклюзивный сервис для владельцев устройств семейства Galaxy.