Um laboratório de desenvolvimento usado pelos engenheiros da Samsung estava vazando códigos-fonte altamente confidenciais, além de credenciais e chaves secretas para vários projetos internos – incluindo o Smart Things (aplicativo que permite monitoramento e controle dos aparelhos domésticos)-, informou Mossab Hussein, um pesquisador de segurança de Dubai, que trabalha para a empresa SpiderSilk.
A gigante dos eletrônicos deixou dezenas de códigos-base no seu domínio, chamado de Vandev Lab, no GitHub. A Samsung utiliza a plataforma para compartilhar dados que contribuam para criação de serviços e aplicativos para os seus dispositivos móveis. Porém, ela cometeu o erro de colocar alguns projetos altamente confidenciais e chaves secretas no modo público, o que levou ao vazamento.
Hussein descobriu os arquivos expostos online. Ele disse que um arquivo continha acesso a uma conta inteira da Amazon Web Services e mais de cem diretórios de armazenamento do S3, com registros e análise de dados.
Muitas das pastas, segundo ele, continham dados de registros e análises dos serviços SmartThings e Bixby (o assistente pessoal da Samsung), mas também, tokens particulares de funcionários da empresa armazenados em texto simples, o que lhe permitiu obter acesso adicional a 42 projetos públicos, além de outros 135 projetos, muitos deles de caráter privado.
“Eu tinha o token privado de um usuário que tinha acesso total a todos os 135 projetos no GitLab”, disse Hussein. Esse nível de acesso poderia permitir que ele fizesse alterações no código usando a própria conta de um funcionário da Samsung.
Hussein compartilhou vários screenshots e um vídeo de suas descobertas para o TechCrunch examinar e verificar.
A Samsung disse a ele que alguns dos arquivos eram para testes, mas Hussein contestou a afirmação, dizendo que o código fonte encontrado no repositório do GitLab continha o mesmo código que o Android app publicado na Google Play Store em 10 de abril.
Ele também encontrou vários documentos internos e slideshows entre os arquivos expostos. “A ameaça real está na possibilidade de alguém adquirir esse nível de acesso ao código-fonte do aplicativo e injetá-lo com códigos maliciosos sem que a empresa saiba”.
Hussein documentou ainda uma grande quantidade de acessos aos arquivos, o que poderia resultar na implementação de uma ameaça e gerar uma situação desastrosa.
A Samsung ainda não encerrou a investigação sobre o relatório de vulnerabilidade de Hussein, cerca de um mês depois de ter revelado a questão pela primeira vez.
“Recentemente, um pesquisador de segurança individual relatou uma vulnerabilidade através de nosso programa de recompensas de segurança em relação a uma de nossas plataformas de testes”, disse o porta-voz da Samsung, Zach Dugan ao TechCrunch. “Nós rapidamente revogamos todas as chaves e certificados para a plataforma de testes reportada e, enquanto ainda temos que encontrar evidências de que qualquer acesso externo ocorreu, estamos investigando issoem profundidade”.
O pesquisador de segurança contou que a sul-coreana retirou os códigos fontes apenas no dia 30 de abril e se recusou a responder perguntas específicas sobre o assunto. Hussein diz que esse vazamento de dados da Samsung foi a sua maior descoberta até hoje. “Eu nunca vi uma empresa tão grande lidar com sua infraestrutura usando práticas estranhas como essa”, disse ele.
Fonte: Tech Crunch