三星多个内部项目敏感源代码泄露 或在不知情时被注入恶意代码

5月9日消息，据外媒报道，迪拜网络安全公司SpiderSilk的安全研究员莫萨布·侯赛因(Mossab Hussein)最近发现，三星工程师使用的某开发实验室泄露了其多个内部项目的高度敏感源代码、凭证和密钥，其中包括其SmartThings平台项目。

这家电子巨头将几十个内部编码项目留在了三星旗下实验室Vandev Lab上的GitLab实例中。这个实例被工作人员用来共享三星的各种应用、服务和项目，并为其贡献代码。由于这些项目被设置为“公共”，而且没有用密码进行适当的保护，因此任何人都可以深入查看每个项目的进展，访问和下载源代码，从而导致绝密信息泄露。

侯赛因表示，其中一个项目包含的凭证允许任何人访问三星工程师正在使用的完整AWS帐户，里面包括100多个S3存储桶，其中包含日志和分析数据。

此外，许多文件夹包含三星SmartThings和Bixby服务的日志和分析数据，但也有几名员工公开的、以明文形式存储的私有GitLab令牌，这使得侯赛因能够利用42个公共项目获得的信息对另外135个项目进行访问，包括许多私人项目。

三星宣称，其中一些文件是用于测试的，但侯赛因对这一说法提出质疑，称在GitLab存储库中发现的源代码与4月10日在谷歌应用店Google Play上发布的安卓(Android)应用程序包含的代码相同。

这个应用程序已经更新过，到目前为止已经安装了1亿多次。侯赛因称：“我有一个用户的私密令牌，完全可以访问GitLab上所有的135个项目。”这可能允许他使用工作人员的帐户进行代码更改。

侯赛因还分享了几张其相关发现的截图和一段视频，供人们检查和验证。公开的GitLab实例还包含三星SmartThings的iOS和安卓应用程序的私有证书。

侯赛因还在泄露文件中发现了几份内部文件和幻灯片。他说：“真正的威胁在于有人可能获得对应用程序源代码这种高级别的访问，并在公司不知情的情况下向其注入恶意代码。”

侯赛因还称，通过公开的密匙和令牌，他记录了大量的访问权限，如果被恶意行为者获得，可能会导致“灾难性后果”。