삼성, 스마트띵스 앱 소스 코드와 비밀 키 유출

삼성전자의 SmartThings 플랫폼을 비롯한 여러 내부 프로젝트에서 매우 민감한 소스 코드, 자격 증명 및 비밀 키가 누설되었습니다.

삼성 소유의 도메인인 Vandev Lab에서 호스팅되는 GitLab 인스턴스에 수십 개의 내부 코딩 프로젝트를 남겼습니다. 직원들이 다양한 삼성 앱, 서비스 및 프로젝트에 코드를 공유하고 기여하는 데 사용되는데..

문제는 이 프로젝트가 “공개”로 설정되어 각 프로젝트 내부를 액세스하고 소스 코드를 다운로드할 수 있게 되어 있었습니다

두바이에 본사를 둔 사이버 보안 회사인 스파이더실크의 보안 연구원인 모사브 후세인은 한 프로젝트에는 사용 중인 AWS 계정 전체에 액세스할 수 있는 자격 증명이 포함되어 있다고 말했습니다.

그는 이 폴더들 중 상당수가 삼성의 스마트띵스 및 빅스비 서비스에 대한 로그와 분석 데이터를 담고 있을 뿐 아니라,  일반 직원의 개인 GitLab 토큰도 공개되어 135 건의 프로젝트에 액세스 할 수있었습니다.

삼성은 일부 파일은 테스트용이라고 말했지만 후세인은 GitLab 저장소에서 발견된 소스 코드가 4월 10일 Google Play에 게시된 Android 앱과 동일한 코드를 포함하고 있다고 주장하였습니다

https://techcrunch.com/2019/05/08/samsung-source-code-leak/

댓글 남기기

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d 블로거가 이것을 좋아합니다: