信息安全研究員表示:華碩內(nèi)網(wǎng)密碼在GitHub上泄露
研究員通過(guò)此密碼可訪問(wèn)內(nèi)部開(kāi)發(fā)者和工程師使用的電子郵件帳號(hào)��,從而與計(jì)算機(jī)的使用者分享夜間構(gòu)建的應(yīng)用�����、驅(qū)動(dòng)和工具。
有問(wèn)題的代碼庫(kù)來(lái)自華碩的一名工程師���,他將電子郵件帳號(hào)密碼公開(kāi)已至少一年的時(shí)間�����。目前�����,盡管GitHub帳號(hào)仍然存在���,但這個(gè)代碼庫(kù)已被清理。
研究員SchizoDuckie表示�,這是個(gè)每天發(fā)布自動(dòng)構(gòu)建版本的郵箱。郵箱中的郵件包含存儲(chǔ)驅(qū)動(dòng)和文件的具體內(nèi)網(wǎng)路徑��,另外����,研究員也分享了與其相關(guān)的多張截圖。
該研究員沒(méi)有測(cè)試��,通過(guò)這個(gè)賬號(hào)具體能獲得哪些信息,但是進(jìn)入企業(yè)內(nèi)網(wǎng)會(huì)非常容易��。就是發(fā)送一封帶附件的電子郵件給任何一名收件人�����,進(jìn)行魚(yú)叉式釣魚(yú)攻擊�。
該研究員通過(guò)華碩專(zhuān)用的信息安全郵箱地址�,向華碩發(fā)出了密碼泄露的警告。6天后��,他無(wú)法再登錄該郵箱�,并認(rèn)為問(wèn)題已經(jīng)解決。
該研究員發(fā)現(xiàn)�,至少還有兩起華碩工程師在GitHub上泄露公司密碼的事件。華碩總部的一名軟件架構(gòu)師在GitHub頁(yè)面上留下了用戶(hù)名和密碼�����。另一名數(shù)據(jù)工程師在代碼中也泄露了密碼�����。
該研究員表示�����,許多公司并不知道他們的程序員在GitHub上用代碼做了什么。后來(lái)�,該公司下線并清理了包含密碼的代碼庫(kù)。
華碩發(fā)言人表示��,該公司無(wú)法證實(shí)研究員在郵件中的說(shuō)法是正確的����,并會(huì)調(diào)查所有系統(tǒng),消除其服務(wù)器和支持軟件的所有的已知風(fēng)險(xiǎn)����,旨在確保沒(méi)有數(shù)據(jù)泄露。
小編推薦閱讀
04:30
04:30
04:30
04:30
04:30
04:30
