?
業內新聞

信息安全研究員:華碩內網密碼在GitHub上泄露

編輯/作者:安安 2019-03-28 我要評論

據美國科技媒體TechCrunch報道,一名信息安全研究員兩個月前向華碩發出警告稱,有華碩員工在GitHub代碼庫中錯誤地發布了密碼。 這些密碼可以被用于訪問該公司的企業內...

  據美國科技媒體TechCrunch報道,一名信息安全研究員兩個月前向華碩發出警告稱,有華碩員工在GitHub代碼庫中錯誤地發布了密碼。 這些密碼可以被用于訪問該公司的企業內網。其中一個密碼出現在一名員工分享的代碼庫中。通過該密碼,研究員可以訪問內部開發者和工程師使用的電子郵件帳號,從而與計算機的使用者分享夜間構建的應用、驅動和工具。

  

2.jpg

  資料圖

  有問題的代碼庫來自華碩的一名工程師,他將電子郵件帳號密碼公開已有至少一年時間。目前,盡管GitHub帳號仍然存在,但這個代碼庫已被清理。

  這位網名為SchizoDuckie的研究員表示:“這是個每天發布自動構建版本的郵箱。”郵箱中的郵件包含存儲驅動和文件的具體內網路徑。研究員也分享了多張截圖以證實他的發現。

  該研究員沒有測試,通過這個賬號具體能獲得哪些信息,但警告稱進入企業內網會非常容易。他表示:“你所需要的就是發送一封帶附件的電子郵件給任何一名收件人,進行魚叉式釣魚攻擊。”

  通過華碩專用的信息安全郵箱地址,該研究員向華碩發出了密碼泄露的警告。6天后,他無法再登錄該郵箱,并認為問題已經解決。

  不過他隨后又發現,在GitHub上,至少還有兩起華碩工程師泄露公司密碼的事件。

  華碩總部的一名軟件架構師在GitHub頁面上留下了用戶名和密碼。另一名數據工程師在代碼中也泄露了密碼。這位研究員表示:“許多公司并不知道,他們的程序員在GitHub上用代碼做了什么。”

  在媒體向華碩告知此事的一天后,包含密碼的代碼庫被下線并清理。不過華碩發言人表示,該公司“無法證實”研究員在郵件中的說法是正確的。“華碩正在積極調查所有系統,消除我們服務器和支持軟件的所有已知風險,并確保沒有數據泄露。”

文章來源:cnbeta

1.本站遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.本站的原創文章,請轉載時務必注明文章作者和來源,不尊重原創的行為我們將追究責任;3.作者投稿可能會經我們編輯修改或補充。4、對于網友投稿的文章請仔細核對其真實性,如遇要求匯款轉賬情況,請格外謹慎。

相關文章
  • 主動安全·智慧驅動——2019合肥網絡安全大會成

    主動安全·智慧驅動——2019合肥網絡安全大會成

  • 掃碼住酒店 信息安全咋辦?

    掃碼住酒店 信息安全咋辦?

  • 誰來守護消費者個人信息安全

    誰來守護消費者個人信息安全

  • 騰訊“鏢局”

    騰訊“鏢局”

? 吉林快三跨度和制图