Anzeige

Samsung

Quelle: Soos Jozsef / Shutterstock.com

Der Sicherheitsexperte Mossab Hussein hat ein gravierendes Sicherheitsleck im System von Samsung entdeckt, wie "TechCrunch" schreibt. Dem Fachmann zufolge bestand das Leak bei zahlreichen Sourcecode-Dateien sowie bei sicherheitsrelevanten Zugangsdaten.

Grobe Fehler bei den Einstellungen des GitLab-Repositorys sollen verantwortlich dafür gewesen sein.

Das Sicherheitsleck ist deshalb so gravierend, weil eine von Samsung gehostete GitLab-Instanz laut Hussein betroffen war - ein Ort, wo viele Projekte von Samsung vorangetrieben werden. Möglich war das öffentliche Einsehen für Fachleute wie Hussein nur deshalb, weil ein Mitarbeiter des südkoreanischen Unternehmens offenbar die Projekte als "public" definiert hat. Zusammen mit einem mangelhaften Passwortschutz konnte praktisch jeder die Projekte von außen einsehen und sich den entsprechenden Sourcecode downloaden.

Konzern spielt Vorfall herunter

Besonders brisant: Nicht nur die Sourcecode-Dateien konnte Hussein finden. Auch stöberte er in einem Projekt die Zugangsdaten zum vollständig genutzten AWS-Zugang auf. Dieser ermöglicht den Zugriff auf 100 sogenannte S3-Storage-Buckets. Diese beinhalten Analysedaten und Log-Dateien, die sich problemlos auslesen lassen konnten. Vor allem umfangreiche Analysedaten zu den SmartThings- und Bixby-Diensten ließen den Sicherheitsforscher aufhorchen. Doch auch private GitLab-Tokens - und das auch noch im Klartext - zu weiteren Projekten waren vorhanden.

So wäre für einen Angreifer der Sourcecode zu manipulieren gewesen, wie Hussein schildert. Eigenen Angaben nach hat er seinen Fund am 10. April Samsung bekannt gegeben. Der Konzern versucht indes die Sache herunterzuspielen und verweist darauf, dass es sich bei der betroffenen Instanz lediglich um eine "Testplattform" gehandelt habe. Das Unternehmen habe zudem bis zum 30. April gebraucht, um die privaten GitLab-Keys zu sperren.

www.pressetext.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Amazon und Apple

Kartellamt leitet Wettbewerbsverfahren gegen Amazon und Apple ein

Das Bundeskartellamt hat ein Verwaltungsverfahren gegen Amazon und Apple eingeleitet. «Wir möchten klären, ob und inwieweit Amazon mit Markenherstellern zu Lasten von Dritthändlern kooperiert», erklärte Kartellamtspräsident Andreas Mundt am Donnerstag und…
eBay

eBay Kleinanzeigen führt Bezahlfunktion ein

Das Internetportal eBay Kleinanzeigen hat eine neue Bezahlfunktion eingeführt, die Käufer und Verkäufer vor verschiedenen Risiken beim Online-Kauf schützen soll. Das kündigte das Unternehmen am Donnerstag in Kleinmachnow an. Das Portal reagiert damit auf…
Mobilfunk

Erste Mobilfunk-Karte mit allen Netzen in Deutschland veröffentlicht

Die Mobilfunkabdeckung in allen Dörfern, Städten und unbewohnten Gegenden Deutschlands ist erstmals auf einer Online-Karte der Bundesnetzagentur zu sehen. Auf der am Donnerstag freigeschalteten Webseite ist die Verfügbarkeit von allen drei Netzbetreibern…
Cyberangriff Gesundheitswesen

FBI warnt vor Cyberattacken auf Krankenhäuser

Die Zahl der Corona-Infizierten in den USA steigt erneut an - nun sind amerikanische Krankenhäuser auch noch einer Welle von Cyberangriffen ausgesetzt. Die Bundespolizei FBI warnte in der Nacht zum Donnerstag vor fortlaufenden Attacken mit dem…
Microsoft

Microsoft: Cyberattacke aus dem Iran auf Konferenzteilnehmer gestoppt

Microsoft ist es nach eigenen Angaben gelungen, eine Serie von Cyberattacken der iranischen Hackergruppe Phosphorus aufzudecken.
Hacker Office

Cyberkriminelle greifen Webseite des RKI an

Cyberkriminelle haben am vergangenen Donnerstag die Webseite des Robert Koch-Instituts (RKI) zeitweise lahmgelegt. Der Angriff sei morgens zwischen 8.00 und 10.00 Uhr erfolgt, sagte ein Sprecher des Informationstechnikzentrums Bund (ITZBund).

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!