Anzeige

Anzeige

VERANSTALTUNGEN

B2B Service Management
22.10.19 - 23.10.19
In Titanic Chaussee Hotel, Berlin

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

DILK 2019
28.10.19 - 30.10.19
In Düsseldorf

Digital X
29.10.19 - 30.10.19
In Köln

DIGITAL FUTUREcongress
05.11.19 - 05.11.19
In Essen, Halle 8 im Congress Center Ost

Anzeige

Anzeige

Samsung

Quelle: Soos Jozsef / Shutterstock.com

Der Sicherheitsexperte Mossab Hussein hat ein gravierendes Sicherheitsleck im System von Samsung entdeckt, wie "TechCrunch" schreibt. Dem Fachmann zufolge bestand das Leak bei zahlreichen Sourcecode-Dateien sowie bei sicherheitsrelevanten Zugangsdaten.

Grobe Fehler bei den Einstellungen des GitLab-Repositorys sollen verantwortlich dafür gewesen sein.

Das Sicherheitsleck ist deshalb so gravierend, weil eine von Samsung gehostete GitLab-Instanz laut Hussein betroffen war - ein Ort, wo viele Projekte von Samsung vorangetrieben werden. Möglich war das öffentliche Einsehen für Fachleute wie Hussein nur deshalb, weil ein Mitarbeiter des südkoreanischen Unternehmens offenbar die Projekte als "public" definiert hat. Zusammen mit einem mangelhaften Passwortschutz konnte praktisch jeder die Projekte von außen einsehen und sich den entsprechenden Sourcecode downloaden.

Konzern spielt Vorfall herunter

Besonders brisant: Nicht nur die Sourcecode-Dateien konnte Hussein finden. Auch stöberte er in einem Projekt die Zugangsdaten zum vollständig genutzten AWS-Zugang auf. Dieser ermöglicht den Zugriff auf 100 sogenannte S3-Storage-Buckets. Diese beinhalten Analysedaten und Log-Dateien, die sich problemlos auslesen lassen konnten. Vor allem umfangreiche Analysedaten zu den SmartThings- und Bixby-Diensten ließen den Sicherheitsforscher aufhorchen. Doch auch private GitLab-Tokens - und das auch noch im Klartext - zu weiteren Projekten waren vorhanden.

So wäre für einen Angreifer der Sourcecode zu manipulieren gewesen, wie Hussein schildert. Eigenen Angaben nach hat er seinen Fund am 10. April Samsung bekannt gegeben. Der Konzern versucht indes die Sache herunterzuspielen und verweist darauf, dass es sich bei der betroffenen Instanz lediglich um eine "Testplattform" gehandelt habe. Das Unternehmen habe zudem bis zum 30. April gebraucht, um die privaten GitLab-Keys zu sperren.

www.pressetext.com
 

GRID LIST
Cloud

A1 Digital und Thales bieten sicheres Cloud-Zugriffsmanagement

Auf der it-sa 2019 in Nürnberg kündigte der Anbieter von praxisorientierten…
Tb W190 H80 Crop Int F665398563bac2af251d01c005aa2832

iTSM Group beschleunigt Integration mit ONEiO

Mit ONEiO hat das Beratungsunternehmen iTSM Group einen neuen Partner gefunden, dessen…
Tb W190 H80 Crop Int D2f533fbb718108efc3cb96bf3c786bd

Apple, Google und Amazon bleiben wertvollste Marken

Apple, Google, Amazon und Microsoft bleiben in der Rangliste der Marktforschungsfirma…
Puzzle

SAS und Red Hat erweitern Partnerschaft

SAS erweitert die Partnerschaft mit Red Hat. Ab sofort steht damit Analytics-Technologie…
Tb W190 H80 Crop Int D8893529f36525c7eafe32fd73186cb5

Libra-Assoziation geht mit 21 Mitgliedern an den Start

Die Libra-Assoziation, die die von Facebook entwickelte Digitalwährung verwalten soll,…
Tb W190 H80 Crop Int 49eb68de66203df26381654d9d5b4048

Sicherheitskatalog für 5G-Netzausbau enthält keine Anti-Huawei-Regeln

Die Kombination von Huawei und 5G lässt mancherorts die Alarmglocken schrillen - die…