华硕内网密码泄露 华硕员工在代码库错误发布密码

时间:2019-09-22 来源:www.zsbohai.com

原标题:华硕内网密码泄露华硕员工在代码库错误中发布密码

华硕内网密码泄露原标题:信息安全研究员:华硕内网密码泄露在GitHub上

北京时间3月28日早间消息,据美国科技媒体TechCrunch报道,一名信息安全研究员两个月前向华硕发出警告称,华硕员工在GitHub代码库中错误地发出了密码。这些密码可用于访问公司的企业内部网。

其中一个密码出现在员工共享的代码库中。借助此密码,研究人员可以访问内部开发人员和工程师使用的电子邮件帐户,以便与计算机用户共享夜间构建的应用程序,驱动程序和工具。有问题的代码库来自华硕的一名工程师,他一直将电子邮件帐户密码公开至少一年。目前,虽然GitHub帐户仍然存在,但此代码库已被清除。

名为SchizoDuckie的研究员说:“这是一个每天发布自动版本的邮箱。”邮箱中的电子邮件包含存储驱动程序和文件的特定Intranet路径。研究人员还分享了几个截图以确认他的发现。

研究人员没有测试通过此帐户可获得哪些信息,但警告说,进入企业内部网非常容易。他说:“你需要的只是发送一封电子邮件,附上任何收件人的邮件网络钓鱼攻击。”

研究人员通过华硕特定的信息安全电子邮件地址向华硕发出了密码泄漏警告。 6天后,他无法登录邮箱,并认为问题已得到解决。

然而,他后来发现,在GitHub上,至少发生过两起华硕工程师泄露公司密码的事件。

华硕总部的软件架构师在GitHub页面上留下了用户名和密码。另一位数据工程师也在代码中泄露了密码。 “许多公司不知道他们的程序员在GitHub上使用代码做了什么,”研究人员说。

媒体告诉华硕有关此事的一天,包含密码的代码库已脱机并清理干净。然而,华硕的发言人表示,该公司“无法确认”研究人员在电子邮件中说的是正确的。 “华硕正在积极调查所有系统,消除我们服务器和支持软件的所有已知风险,并确保没有数据泄露。”

华硕服务器被黑了。官方回应:锁定对特定机构用户的攻击

卡巴斯基实验室的安全研究人员于3月26日下午表示,他们发现,去年黑客通过华硕Live Update软件中的漏洞入侵计算机,并向超过100万的华硕计算机用户发送恶意软件,导致这些计算机可能出现后门。

据台湾媒体《中时电子报》称,华硕今天下午表示,此事件正在华硕的管理和监控下进行。华硕表示,媒体报道华硕Live Update工具计划(以下简称实时更新)可能受到特定APT群体的攻击,这些群体通常由第三世界国家主导,针对全球特定的机构用户,很少针对普通消费者用户。经过华硕调查和第三方安全顾问验证,受影响的人数目前已达数百人,大部分消费者用户原则上不属于APT集团的锁定攻击范围。

华硕内网密码泄露华硕称Live Update是华硕笔记本电脑的自动更新软件。某些模型加载了恶意程序并上传到文件服务器(下载服务器)以尝试定位一些特定对象。启动攻击后,华硕已主动联系这部分用户提供产品测试和软件更新服务,并与客服专员协助客户解决问题,并继续跟踪流程以确保产品是无辜的。

为了应对这种攻击,华硕已经使用新的多重身份验证机制升级了Live Update软件,以增强软件更新和交付路径的端到端密钥加密机制,并更新服务器和客户端的软件架构。确保不再发生此类入侵。