三星程序员在GitLab上泄露高度机密源码及敏感信息,包括AWS账户信息、私钥及多个内部项目详情。白帽黑客Mossab Hussein发现此事件并报告,涉及SmartThings和Bixby服务的日志及分析数据。泄密还包括GitLab专用令牌,允许额外访问42个公共项目和135个私人项目。
大疆程序员在 GitHub 公开源码泄密,造成百万损失……该案在 4 月底刚宣判,那位涉事程序员被判 6 个月,罚款 20 万。
无独有偶,这种晒源码泄密事件,又来了一起。
5 月 8 日,多家外媒报道了三星程序员的同类行为,把高度机密的源码、多个内部项目的敏感信息和私钥,一起在 GitLab 上给「开源」了。
和大疆程序员案件一样,发现三星程序员泄密的还是白帽黑客。
迪拜安全研究员 Mossab Hussein 发现其中一个项目包括的包含了可以访问正在使用的整个 AWS 账户的信息,包括 100 多个 S3 存储桶,其中包含日志和分析数据。
Hussein 说,其中许多文件夹包含了三星 SmartThings 和 Bixby 服务的日志和分析数据,但也有几名三星程序员公开了以明文形式存储的 GitLab 专用令牌,这让他能够从 42 个公共项目获得额外的访问权限,进入 135 个项目,其中包括许多私人项目。
(包括 AWS 账号私密信息的截图)
Hussein 联系三星,对方回复他说是里面有些文件是用于测试的。
但 Hussein 提出了质疑,他在 GitLab 存储库中发现的源代码,与 4 月 10 日在Google Play 上发布的 Android 应用程序代码相同。
无论是不是内部项目,这种晒代码泄露机密信息的案例,以后绝对还有!
这些晒源码的三星程序员,可以祭天了吧?
精彩回顾
扫一扫
2031
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
