Menü
Developer

Samsung: Sourcecode und Zugangsdaten waren öffentlich einsehbar

Ein grober Fehler bei den Einstellungen des GitLab-Repositorys erlaubte zeitweilig unter anderem Zugang zum SmartThings-Sourcecode.

vorlesen Drucken Kommentare lesen 33 Beiträge

(Bild: dpa, Yonhap South)

Der Sicherheitsforscher Mossab Hussein hat einen Leak zahlreicher Sourcecodedateien und Zugangsdaten bei Samsung entdeckt. Betroffen war eine von Samsung gehostete GitLab-Instanz, auf der laut Hussein die Entwicklung zahlreicher Projekte des koreanischen Unternehmens stattfindet. Offensichtlich hat jemand die Projekte als "public" eingestellt, und es mangelte an einem Passwortschutz. Somit konnte jeder Einblick in die Projekte nehmen und Sourcecode herunterladen.

Laut dem Bericht auf TechCrunch hat Hussein neben den Sourcecode-Dateien in einem Projekt Zugangsdaten zum kompletten verwendeten AWS-Account gefunden, mit denen sich der Zugriff auf 100 S3-Storage-Buckets mit Analysedaten Log-Dateien öffnen ließ. Neben Analysedaten zu den SmartThings- und Bixby-Diensten von Samsung fand der Sicherheitsforscher private GitLab-Tokens im Klartext, die den vollen Zugang zu zahlreichen weiteren Projekten gab. "Ich hatte den privaten Token eines Nutzers, der vollen Zugriff auf alle 135 Projekte auf der GitLab-Instanz hatte", zitiert TechCrunch Hussein. Ein Angreifer hätte den Source somit beliebig manipulieren können.

Der Vorfall liegt bereits einen knappen Monat zurück: Hussein hat Samsung seinen Fund am 10. April mitgeteilt. Das Unternehmen wiegelt ab und bezeichnet die betroffene Instanz als Testplattform: "Vor Kurzem hat ein Security-Forscher im Rahmen unseres Seucrity-Reward-Programms eine Schwachstelle an einer unserer Testplattformen gemeldet", war der Kommentar von Samsung-Sprecher Zach Dugan gegenüber TechCrunch.

Zu den Beweisen, die Hussein TechCrunch vorgelegt hat, gehört der Screenshot mit den AWS-Zugangsdaten.

(Bild: TechCrunch)

Laut Hussein hat Samsung bis zum 30. April gebraucht, um die privaten GitLab-Keys zu sperren. Den Beweis, dass es sich tatsächlich um eine Testplattform handelt, bleibt Samsung derweil schuldig. Offensichtlich findet sich dort wohl zumindest der Sourcecode, der mit dem einer Android-App übereinstimmt, die Samsung am 10. April in Google Play veröffentlicht hat. (rme)