三星公司又有麻烦了！

fudashuai

北京时间5月9日早间消息，据美国科技媒体TechCrunch报道，一名信息安全研究员近期发现，三星工程师使用的一个开发平台泄 露 了多个内部项目，包括三星SmartThings敏 感的源代码、证 书和密 钥。

三星数十个自主编码项目出 现在旗下Vandev Lab的GitLab实例中。该实例被三星员工用于分 享并贡 献各种应用、服务和项目的代 码。由于这些项目被设置为“公开”，同时没有受到密 码的保 护，因此任何人都可以查看项目，获取并下载源代码。

迪拜信息安全公司SpiderSilk的安全研究员莫撒布·胡赛因（Mossab Hussein）发现了这些泄 露的文件。他表示，某个项目包含的证书允许访问正在使用的整个AWS帐号，包括100多个S3存储单元，其中保存了日志和分析数据。

他指出，许多文件夹包 含三星SmartThings和Bixby服务的日志和分析数据，以及几名员工以明文保 存的私 有GitLab令 牌。这使得他可以额外获得42个公开项目，以及多个私 有项目的访问 权 限。

三星回应称，其中一些文件是用于测 试的，但胡赛因对此提出质 疑。他表示，在GitLab代码仓库中发现的源代码与4月10日在Google Play上发布的Android应用包含的代码相同。这款应用随后又有过升级，到目前为止的安装量已经超过1亿多次。

胡赛因说：“我获得了一名用户的私 有 令 牌，该用户可以完全访 问GitLab上的所有135个项目。”因此，他可以使用该员工的帐号去修 改代 码。

胡赛因还提供了多张屏幕截图和视频作为证 据。泄 露的GitLab实例中还包括三星SmartThings的iOS和Android应用的私 有证 书。

三星公司还 死 不 认 账！  第3个帖子来了！

说明：1、关注“系统总裁”公众号，了解最新的IT资讯。2、“免责声明”：因为本论坛不允许直接转帖IT资讯，本人只能根据维金的原文进行相应修改整理而成（注：原标题已经修改，为本人对原文内容的感慨、感受或认知态度等的表达）。3、如果原作者有异议，烦请相告！本人将进行删除。谢谢！