据德顺网报道,关于华硕内网密码泄露一事,外媒近日报道称,一名安全研究员两个月前发出警告,称华硕员工在GitHub库中张贴密码是不正确的,这些密码可能被用来访问公司的企业网络。
其中一个密码是在员工共享的回购中找到的,通过这个密码,你可以访问华硕内部开发人员和工程师使用的电子邮件帐户,与电脑所有者共享每天晚上构建的应用程序、驱动程序和工具。回购的所有者是华硕的工程师,他已经公开电子邮件账户的密码至少一年了。GitHub账户依然存在,但回购已经完全清算。
“这是每天发布的邮箱的自动化版本,”研究人员说。邮箱中的电子邮件包含存储驱动程序和文件的确切内部网络路径。
研究人员没有测试他访问该账户有多好,但警告说访问其内部网络很容易。他说:“你所需要做的就是向任何人发送一封带有附件的电子邮件,并进行一次非常漂亮的网络钓鱼攻击。”
这显然是一个安全漏洞,可能会让华硕面临类似或其他攻击的风险。安全公司卡巴斯基1月31日也警告华硕,黑客在华硕Live Update应用中安装后门。申请是用美国反垄断协会(华硕)颁发的证书签署的,托管在华硕的下载服务器上。研究人员估计,超过100万用户被迫写代码。华硕在声明中证实了此次攻击,并发布了补丁。
研究人员已经通过华硕邮箱警告华硕暴露证书。六天后,他再也无法登录这个邮箱,以为问题已经解决了。然而,他发现华硕至少有过两次工程师在GitHub页面上泄露公司密码的案例。
华硕台湾省总部的一位华硕软件架构师在他的GitHub页面上留下了用户名和密码。另一个台湾省数据工程师的代码也泄露了证书。
在我们给华硕发邮件提醒的一天后,包含这些证书的转帖被移除并清理。然而,当华硕发言人兰德尔·格里利联系他们时,他们表示华硕“无法验证”该研究人员电子邮件的“有效性”。他补充说:“华硕正在积极调查所有系统,以消除我们服务器和支持软件的所有已知风险,并确保没有数据泄漏。”
当然,这不是华硕独有的。其他公司也面临风险,因为暴露和泄漏的证书或硬编码密钥。上周,学者们发现了10多万名公共代理人存储着加密密钥和其他秘密。
最著名的泄漏案例之一是Uber,一名工程师错误地将云密钥留在了GitHub的一个存储库中。当黑客发现并使用这个存储库盗取5700万用户的数据时,这个存储库被黑客使用。优步随后被要求支付1.48亿美元的数据泄露和解费。
但考虑到华硕几个月前就知道这些问题,受到后门威胁,影响了一百多万用户,本来可以更好的处理这件事,更积极的回应,但是没有。
如何看待华硕密码泄露事件?欢迎在评论区交流。
1.《火星曾有大江大河 真相到底是怎样的?》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《火星曾有大江大河 真相到底是怎样的?》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/keji/1128038.html
