Лабораторія розробок компанії Samsung випадково надала доступ до вихідного коду, облікових даних і ключів десятків внутрішніх проектів у системі керування репозиторіями коду GitLab з позначкою "загальнодоступні".
Проекти в сервісі, який використовувався співробітниками Samsung для обміну кодами у програми, що розробляються, були відкриті для всіх, що дозволяло стороннім користувачам зазирнути всередину кожного проекту, отримати доступ і завантажити вихідний код.
Дослідник безпеки в дубайської фірми SpiderSilk Моссаб Хуссейн, який і виявив відкриті файли, зазначив, що один проект містив облікові дані, які дозволяли отримати доступ до облікового запису AWS, включаючи більше 100 сховищ S3.
Папки містили журнали та аналітичні дані для сервісів Samsung SmartThings і Bixby, а також відкриті особисті маркери GitLab декількох співробітників, які зберігалися у вигляді відкритого тексту, що дозволило отримати додатковий доступ з 42 загальнодоступних проектів ще до 135.
Хусейн також заявив, що вихідний код Samsung, знайдений в репозиторії GitLab, містить той же код, що і Android-додаток, опублікований в Google Play 10 квітня і вже має понад 100 мільйонів установок.
"У мене був особистий токен користувача, який мав повний доступ до всіх 135 проектів на цьому GitLab", - сказав Моссаб Хуссейн.
За його словами, наявний доступ міг дозволити йому вносити зміни в код проектів Samsung, навіть запровадити в нього шкідливий код, використовуючи обліковий запис співробітника компанії.
Samsung вже вжила заходів для усунення вразливості, однак розслідування досі не завершено.
Нагадаємо, компанія Samsung має намір організувати новий ексклюзивний сервіс для власників пристроїв сімейства Galaxy.